금융당국이 최근 5년간 롯데카드를 11차례 검사했으나 핵심적인 보안 취약성 문제는 한 차례도 점검하지 않았던 것으로 드러났다. 이로 인해 300만 명 가까운 개인정보가 유출된 대형 해킹 사고의 책임이 관련 감독기관에도 일부 있다는 지적이 나오고 있다.

국회 정무위원회 소속 강민국 의원실이 2025년 10월 13일 금융감독원에서 제출받은 자료에 따르면, 2019년부터 2025년 8월까지 8개 전업 카드사에 대해 진행된 정기 및 수시 검사는 총 67회였다. 이 중에서도 롯데카드는 11회로 검사 횟수가 가장 많았다. 하지만 이들 검사의 주목적은 대부분 영업 관행, 소비자 보호, 제휴 업무 적정성 확인 등에 초점이 맞춰졌으며, 해킹이나 전산 시스템 보안에 관한 항목은 단 한 차례도 포함되지 않았다.

이런 가운데 최근 발생한 개인정보 유출 사고는 롯데카드의 심각한 보안 부실에서 기인했다는 분석이 나온다. 가장 심각한 문제는 롯데카드가 2017년 미국 오라클사의 웹로직(WebLogic) 소프트웨어에서 발견된 보안 취약점을 2025년까지 8년 동안 방치했다는 사실이다. 웹로직은 기업용 애플리케이션 서버로, 이 보안 허점은 이미 전 세계적으로 알려졌고 다수의 사이버 공격에 악용된 전력이 있는 고위험 요소였다.

해당 사고는 단순한 보안 실수가 아니라 점검과 감독 체계의 구조적 결함에서 나온 문제라는 비판이 제기된다. 금감원은 2022년 롯데카드 대상으로 한 한 달 간의 정기 검사에서도 보안 관련 항목은 빠뜨렸고, 대신 감사위원 선임 절차나 금융거래 비밀보장 관련 법규 위반만 지적했다. 실제로 보안 취약점이라는 '시한폭탄'이 장기간 방치되는 동안 감독기관은 이를 단 한 번도 들춰보지 않았던 셈이다.

정치권에서는 감독 당국의 책임을 강하게 비판하고 있다. 강민국 의원은 "보안 취약점을 조사하지 않은 것은 명백한 직무유기"라며, "해당 사안을 카드사 전반으로 확대 조사하고, 특히 롯데카드에 대해서는 영업 정지나 징벌적 과징금 같은 강도 높은 제재가 이뤄져야 한다"고 강조했다. 실제로 검찰은 현재 롯데카드를 상대로 자본시장법 위반 혐의 등의 고발 사건과 관련해 강제 수사를 진행 중이다.

이번 사건은 보안 문제에 대한 금융당국의 인식 부족과 감독 체계의 한계가 얼마나 심각한 결과를 초래할 수 있는지를 여실히 보여준다. 향후 카드업계를 포함한 전체 금융권에서 정보보호 수준에 대한 근본적인 점검과 제도 개선이 이루어지지 않으면, 이와 유사한 사고가 반복될 가능성이 크다.