롯데카드가 해킹 피해 보상으로 10개월 무이자 할부 제공 등을 들고나왔지만 여론은 싸늘하다. '국내 최고 수준'의 보안 인증을 받은 날에도 해커는 롯데카드 서버 내부에 침입했었다. 롯데카드는 최초로 정보가 유출된 지 17일이 지나서야 해킹 사실을 파악했다. 구체적인 피해 보상안과 대책은 해킹 발생 한 달이 지나서야 발표됐다. "최고 수준 제재"를 언급하며 엄포를 놓은 금융당국도 늦장 대처 지적을 피하기 어렵게 됐다. 18일 롯데카드가 공개한 해킹 사고 개요 및 경과에 따르면, 외부 공격자는 지난달 12일 새벽 3시 처음으로 온라인 결제 시스템에 침입한다. 취약점을 스캔한 이후 이튿날에는 악야마토2게임 성코드(웹 셸)를 롯데카드 온라인 결제 서버에 설치했다. 14일과 15일 이틀에 걸쳐 고객 정보가 유출됐다. 롯데카드는 26일이 돼서야 악성코드 감염을 최초로 인지하고, 전체 서버를 대상으로 검사를 실시했다. 고객 정보가 유출된 사실은 지난달 31일에 처음으로 파악됐다. 이달 1일 금융감독원에 공격 사실을 신고했다. 금융당국은 전날에서야 STX 주식 최종 유출 정보량을 확정 지었다. 롯데카드는 최초 정보 유출 이후 한 달이 넘어서 구체적인 사고 경위를 설명하기 위한 기자간담회를 열었다. 롯데카드는 지난달 12일 금융보안원으로부터 국내 최고 수준의 보안관리체계(ISMS-P)를 획득했다는 인증서를 받았다. 인증서를 받은 당일에도 이미 외부 해커가 롯데카드 서버에 침투하고 있었던 것이다. 디스플레이산업 해킹 사실을 처음으로 인지한 시점도 17일이나 늦었지만 상황 파악도 제대로 못 했다. 롯데카드는 당초 금융당국에 1.7GB(기가바이트) 정보가 유출됐다고 신고했지만 조사 과정에서 데이터 반출량은 200GB인 것으로 파악됐다. 롯데카드는 평소에 거의 사용하지 않던 서버로 해커가 침투했고, 데이터를 조금씩 반출했기에 해킹 사실 인지가 늦었다고주식투자배우기 해명했다. 하지만 롯데카드가 실질적인 정보보호 노력에서 부족했다는 비판은 피하기 어려워 보인다. 특히 최대 주주 MBK파트너스가 수익성 확대에 몰두하면서 정보호호 투자를 소홀히 한 것 아니냐는 지적도 나왔다.
[서울=뉴시스] 김진아 기자 = 조좌진 롯데카드 대표이사 사장 온라인야마토게임 등이 18일 서울 중구 부영태평빌딩에서 사이버 침해 사고에 대한 대고객 사과를 하기 위해 단상으로 향하고 있다. 2025.09.18. bluesoda@newsis.com /사진=김진아
이에 롯데카드는 MBK파트너스가 2019년 롯데카드를 인수한 이후 정보보호 관련 예산과 인력은 지속해서 늘려왔다고 해명했다. 조좌진 롯데카드 대표는 "화이트해커를 통한 모의 침투, 직원에게 스미싱 메일 보내기 등을 시행하며 정보보호 관련해선 상당히 높은 관심과 투자를 나름대로 했었다"고 설명했다. 금융당국의 늦장 사후 대처도 도마 위에 올랐다. 금융위원회는 이날 금감원·보안원 등과 대책 회의를 열고 "허술한 보안체계에 강도 높은 책임을 물을 예정이며 최대 수준의 엄정한 제재를 진행할 방침"이라고 밝혔다. 그러나 금감원이 현장검사를 시작한 지 보름이 넘어서야 당국은 피해 규모를 확정하고, 관련 대책 회의를 열었다. 그사이 발생할 수 있는 고객 피해를 생각하면 대처가 빨랐다고 할 수 없다. 무엇보다도 금융당국과 롯데카드는 해킹 세력이 누구인지, 목적은 무엇인지 특정하지 못했다. 현재는 해커의 수법 등을 고려할 때 해외 세력의 소행이라고 추정만 할 뿐이다. 롯데카드는 앞으로 5년간 1100억원 정보보호 투자를 단행하겠다고 밝혔다. 대표이사를 포함해 대대적인 인적 쇄신을 연말까지 완료하겠다고도 했다. 조 대표는 내년 3월 말 임기가 만료되는데 이번 사태에 책임을 지고 사임하거나 연임하지 않을 가능성도 내비쳤다. 조 대표는 "인적 쇄신은 저를 포함해 충분히 시장에서 납득할만한 수준에서 할 것"이라며 "사임까지도 포함한다"고 말했다. 징벌적 과징금 부과와 CEO(최고경영자) 제재 가능성에도 "지금은 롯데카드의 피해를 줄이기 위해 어떤 행동을 할 것이냐는 전혀 중요하지 않다"고 강조했다. 이창섭 기자 thrivingfire21@mt.co.kr
> 커뮤니티 > Q&A
