회원 960만명을 보유한 롯데카드에서 대량의 고객정보가 유출되는 사건이 발생했다. 해킹 피해 규모가 297만명으로 전체 회원의 3분의 1 수준이다. 이 중 28만명은 부정 사용 가능성이 있는 것으로 파악됐다. 쉽게 납득하기 힘든 대량의 유출 사고다.
롯데카드는 고객정보가 유출된 고객 모두에게 금액 상관없이 연말까지 무이자 10개월 할부 서비스를 무료로 제공하는 등 전액 보상안을 마련하겠다고 했다. 전사적 비상대응체계를 가동해 향후 5년간 1100억원의 정보보호 관련 투자를 집행하면서, 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다는 방침도 세웠다.
롯데카드는 지난 8월 26일 온라인 결제 서버에서 외부 해커의 침해 흔적을 발견하고 정밀조사를 시작했다. 당시 점검 결과 3개 서버에서 2종의 악성코드와 5종의 웹쉘(해커가 웹 서버를 원격 제어하기 위해 설치하는 악성 코드)을 발견해 즉시 삭제 조치했다.
이후 지난 8월 31일 낮 12시께 온라인 결제 서버에서 외부 공격자가 1.7기가바이트(GB) 분량의 데이터 반출을 시도했던 흔적을 발견했고, 다음날인 지난 1일 오전 10시 금융당국에 침해사고 사실을 보고했다.
지난 2일부터 금융감독원과 금융보안원의 현장 검사가 진행됐고, 조사 과정에서 200GB 분량의 데이터가 추가적으로 반출된 정황이 발견됐다. 이에 따라 관계 기관과 정밀분석을 진행했고, 전날인 9월 17일 특정 고객의 일부 고객정보가 유출된 사실이 최종적으로 확인됐다.
이번에 정보가 유출된 고객 297만명은 유출 범위에 따라 크게 저위험(269만명), 고위험(28만명) 등 두 가지 유형으로 나뉜다.
먼저 롯데카드에 따르면 이번 피해 고객 중 대다수를 차지하는 269만명의 경우 일부 항목만 제한적으로 유출됐다. 롯데카드 측은 이 고객들은 부정 사용 가능성이 없으며 카드 재발급을 별도로 할 필요가 없다고 판단했다.
나머지 28만명은 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객들이다. 이 고객들은 지난 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록한 사람들이다. 유출정보의 범위는 온라인 신규등록 시 필요한 카드번호와 비밀번호(2자리), 유효기간, CVC, 고객정보 등이다.
최근 국내에선 해킹 사고가 잇따르고 있다. 하반기에 드러난 금융권 해킹 사고만 SGI서울보증, 웰컴금융그룹의 랜섬웨어 해킹에 이어 세 번째다. 일상생활과 밀접한 금융 부문 해킹 사고가 발생하면 국민 불안도 커진다.
롯데카드의 경우, 2019년 사모펀드인 MBK파트너스가 인수한 뒤 보안 투자에 소홀했다는 지적이 뼈 아프다. 2014년 카드 업계 대규모 해킹 사고 당시 피해 회사였는데도 보안 패치를 설치하지 않았다고 한다.
당국의 대처도 다소 안이해 보인다. 당국은 대규모 유출 사고를 일으킨 기관이나 기업이 어디인지를 개인정보보호법 준수를 이유로 공개하기 어렵다는 입장을 고수하고 있다. 당국의 이같은 입장을 두고 개인정보 유출 사고에 대한 경각심을 높이는 데 소홀한 게 아니냐는 지적이 나온다. 한국인터넷진흥원은 "위반 행위에 상응하는 처분을 이미 받았고, 공표 대상 여부와 관계없이 이름을 공개하는 것은 개인정보보호법에서 공표에 관한 별도의 규정을 정해 둔 취지에 맞지 않기 때문"이라고 해명했다. 그러나 개인정보 유출 사고가 매년 반복되고 점차 대형화하는 양상을 보이는 현실에 비춰 당국의 이런 대응은 땜질식 처방에 그칠 수 있다. 보다 근본적인 해법을 강구할 필요가 있다. 개인정보 보호와 관련한 명백한 위반 행위에 대해 사회적 책임과 제재를 강화하는 방안을 적극 검토해야 할 것이다.