회원 수 960만 명에 달하는 롯데카드에서 대규모 해킹 사고가 발생하면서, 유출된 고객 정보의 규모가 당초 예상보다 훨씬 클 것으로 확인되고 있다. 금융당국과 카드업계는 현재 정확한 피해 규모를 파악하는 작업의 막바지 단계에 있으며, 빠르면 이번 주 중 공식 발표가 나올 것으로 보인다.
롯데카드는 지난달 14~15일 사이에 온라인 결제 서버가 해킹을 당해 내부 파일이 유출됐다고 금융감독원에 보고했다. 당시 보고된 유출 파일의 총량은 약 1.7기가바이트에 불과했으나, 이후 금융당국의 현장 검사 결과 실제 유출 정보의 양과 범위가 훨씬 광범위하다는 사실이 드러났다. 카드 정보, 결제 요청 내역 등 민감한 개인정보까지 포함됐을 가능성이 제기되고 있으며, 피해자 숫자 역시 초기 추산 수만 명을 훌쩍 넘는 수십만~수백만 명 수준에 이를 수 있다는 관측이 나오고 있다.
문제는 기술적 문제뿐 아니라 사고 대응에도 허점이 있었다는 점이다. 해킹이 발생한 이후 실제 해킹 사실을 인지하기까지 무려 17일이 걸렸고, 이로 인해 초기 대응이 지연되면서 유출 피해가 확산될 우려가 커졌다. 특히 롯데카드는 결제관리 서버에 오래전 발견된 보안 취약점에 대한 패치를 적용하지 않았던 것으로 알려졌다. 대부분 금융사가 이미 수년 전 보안 조치를 마친 해당 서버를 그대로 운영한 점은 보안 투자 부실 논란으로 이어지고 있다.
롯데카드의 최대주주가 사모펀드 MBK파트너스라는 점도 문제의식을 키우고 있다. MBK파트너스가 비용 절감을 위한 구조조정에만 집중하며 보안 인프라에 소홀했다는 비판이 제기되고 있으며, 이는 이번 사고의 근본적 원인 중 하나로 지목된다. MBK파트너스는 이미 다른 기업 인수 과정에서도 소비자 보호 소홀로 금융당국의 조사를 받고 있어, 롯데카드 사태와 함께 기업 경영 방식 전반에 대한 재검토 요구가 높아지고 있다.
정부는 이번 사건을 심각하게 보고 있다. 이재명 대통령은 연이은 통신사·금융사 해킹 사고로 인해 국민 불안이 커지고 있다며, 보안사고를 반복하는 기업에 대해 징벌적 과징금 등 강력한 제재를 마련하라고 지시했다. 금융감독원 역시 이번 사태를 은행과 카드업계를 포괄한 전체 금융권 보안 수준 점검의 계기로 삼겠다는 방침이다.
이런 가운데 롯데카드는 빠르면 이번 주 대표이사 명의의 대국민 사과와 함께 카드 교체, 고객 보상책 등을 포함한 종합 대책을 발표할 것으로 알려졌다. 과거 SK텔레콤은 유사한 해킹 피해 이후 한 달 간 혜택을 제공한 전례가 있어, 이번에도 실질적인 피해 회복 방안이 얼마나 충실히 담기느냐가 피해자 구제와 시장 신뢰 회복의 관건이 될 전망이다.
이번 사건은 단순한 해킹 사고를 넘어, 금융산업 내 민감정보 보호 체계와 사후 대응 시스템 전반에 대한 점검 필요성을 다시 한 번 부각시키고 있다. 향후 정부의 규제 강화는 물론, 금융사들의 사이버 보안 투자 확대 움직임으로 이어질 가능성이 높다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>