회원 수가 960만 명에 이르는 롯데카드의 해킹 사고 피해 규모가 당초 알려진 것보다 훨씬 클 것으로 드러나면서, 피해자 수가 수백만 명에 달할 수 있다는 우려가 커지고 있다.

금융당국과 카드업계에 따르면, 롯데카드와 감독기관은 해킹에 따른 정보 유출 범위와 피해자 수를 파악하는 절차를 마무리하고, 오는 9월 18일 공식 브리핑을 통해 상세 내용을 발표할 계획이다. 이 자리에서 조좌진 롯데카드 대표는 사고 원인과 대응 조치를 직접 설명하고, 대국민 사과에 나설 예정인 것으로 알려졌다.

이번 해킹 사건은 지난 8월 14일부터 15일 사이 롯데카드의 온라인 결제 서버가 외부 공격을 받으면서 발생했다. 당시 유출된 정보는 1.7기가바이트 상당으로 보고됐으나, 금융당국의 현장 점검 결과 실제 유출 규모가 이보다 훨씬 방대하다는 정황이 드러났다. 금융감독원에 따르면 카드 정보 등 결제 요청 내역이 포함됐을 가능성이 크고, 유출된 자료의 기간 또한 초기 보고보다 더 길 수 있다는 관측이다.

특히 이번 사고에서는 카드사 보안 시스템의 구조적 허점이 도마 위에 올랐다. 롯데카드가 사용 중이던 서버 소프트웨어는 이미 약 10년 전에 보안 취약점이 발견돼 업계 대부분이 패치를 적용했음에도, 롯데카드는 이를 방치한 채 운영해 왔던 것으로 전해진다. 또 해킹 감지와 대응도 미흡해 최초 공격 이후 17일이 지난 8월 31일에야 사태를 인지한 사실이 확인됐다.

이번 사건을 계기로 카드 이용자 보호 조치와 피해 보상에도 관심이 쏠리고 있다. 당장은 탈퇴 회원에 대한 연회비 환불 정도가 거론되고 있지만, 백만 명 단위로 추산되는 피해자가 현실화될 경우 실질적인 보상 대응이 불가피할 전망이다. 소비자 보호를 강조하고 있는 금융당국 역시, 해당 기업에 대한 책임을 강화하고, 향후 유사 사고 재발 방지를 위한 제도 개선을 추진할 가능성이 높다.

롯데카드의 지배구조 또한 이번 논란의 한 축이다. 현재 최대주주인 MBK파트너스는 사모펀드 특성상 수익성에 초점을 맞추는 경향이 강하다는 지적을 받아왔으며, 정보보안 투자 부실에 대한 책임론이 이어지고 있다. 금융당국은 MBK파트너스가 관련된 또 다른 사건인 홈플러스 사안과 함께 이번 해킹 사고에 대해서도 정밀 조사를 진행 중이다.

이 같은 흐름은 금융산업 전반의 보안 인식과 기업 책임 구조에 대한 재검토로 이어질 가능성이 크다. 정부 차원에서도 징벌적 과징금 도입 등 제도 정비 방안을 논의할 수 있으며, 대형 플랫폼과 금융사 간의 사이버 보안 경쟁도 한층 치열해질 것으로 예상된다.