롯데카드에서 발생한 대규모 해킹 사고로 고객 297만명의 개인정보가 유출됐음에도, 회사 측이 사태의 전모를 제대로 파악하지 못한 데다 초기 대응에도 실패하면서 논란이 커지고 있다. 실제 유출된 정보의 양은 최초 보고보다 100배 넘게 많았던 것으로 나타났고, 소비자들은 집단 소송까지 준비 중이다.
사고는 지난 8월 14일 처음 발생했지만, 롯데카드는 이후 보름 가까이 홈페이지에 ‘정보 유출은 없다’는 공지만 띄운 채 피해 사실을 축소하는 태도를 보였다. 정보 유출 규모에 대해서도 당초 1.7기가바이트(GB) 수준으로 파악하고 당국에 보고했지만, 금융감독원과 금융보안원의 합동 조사를 통해 실제 유출량이 200GB에 달한다는 사실이 이틀 만에 드러났다. 이는 롯데카드가 내부에서 정확한 조사와 판단 없이 피해 규모를 과소평가했다는 점을 시사한다.
이뿐만 아니라 롯데카드는 해커들이 빼간 정보가 모두 암호화된 파일이라면서 유출의 심각성을 낮게 평가했다. 하지만 금감원 등의 포렌식 조사 결과, 일부 민감 정보는 암호화되지 않았거나, 암호가 해제된 상태로 유출된 정황이 확인됐다. 특히 카드의 비밀번호나 CVC(카드 뒷면의 보안번호) 등 결제 핵심 요소들이 포함된 것으로 전해져 보안상 심각한 문제가 지적된다.
이러한 사태가 장기간 방치되자, 피해 소비자들은 집단 소송에 나섰다. 9월 20일 기준 ‘롯데카드 개인정보 유출 집단소송 카페’에는 이미 2천명 넘는 인원이 참여 의사를 밝힌 상태다. 이들은 카드사의 보안 관리 능력 부재는 물론, 사고 축소와 늑장 대응에 불만을 표하고 있으며, 특히 해외 결제나 키인 거래(단말기에 카드 정보만 입력하는 방식)를 통한 피해 가능성을 우려하고 있다.
이번 사건은 카드사 전체의 IT 보안 태세에 대한 우려로도 번진다. 금융권 IT 인력 비중은 전체 직원의 약 11%로 수년째 제자리인데, 롯데카드의 경우 IT 임원이 전체 임원 중 7%에 불과해 전업 카드사 가운데 최하위 수준이다. 주요 주주인 사모펀드 MBK파트너스가 수익에만 집착해 보안 투자에 소홀했던 것 아니냐는 비판도 제기된다. 이에 대해 롯데카드는 향후 5년간 정보보호에 1천100억원을 투입하고, 예산 비중을 업계 최고 수준인 15%까지 확대하겠다고 밝혔다.
이 같은 흐름은 금융 IT 인프라 확대 속에서도 보안 투자는 여전히 후순위로 밀리고 있다는 현실을 보여준다. 사후 대응이 아닌 사전 예방 중심의 보안 체계 정비 없이는, 이번 사건과 유사한 해킹 사고가 반복될 수 있다는 점에서 제도적 보완책이 시급하다는 지적이 나온다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>