롯데카드에서 약 297만명에 달하는 고객의 개인신용정보가 유출된 사실이 드러나면서 금융당국이 긴급 대응에 나섰다. 카드 비밀번호와 CVC(카드 뒷면 인증번호)까지 빠져나간 고객만 28만여명에 이르는 것으로 확인됐다. 금융위원회는 이번 사태를 계기로 카드사를 넘어 전 금융권에 걸친 보안체계 전면 점검과 제도 개편을 추진하겠다고 밝혔다.
금융위원회는 18일 권대영 부위원장 주재로 관계기관·전문가 회의를 열고 롯데카드 사고 경과와 대응 방안을 논의했다. 금융보안원 조사 결과, 해커는 지난 8월 14~27일 롯데카드 온라인 결제 서버(WAS)에 침입해 웹셸(web shell) 악성 프로그램을 설치하고 총 200GB의 정보를 빼갔다. 롯데카드가 당초 금융당국에 신고한 규모는 1.7GB였으나 실제 피해 규모는 100배 이상이었다.
유출 정보에는 총 296만9000명의 개인신용정보가 포함됐다. 이 가운데 약 9.5%에 해당하는 28만3000명의 카드 비밀번호와 CVC 번호까지 함께 노출됐다. 다만 롯데카드 측은 사고 직후 본인인증 강화, 부정결제 차단 등 긴급조치를 취해 현재까지 부정사용 피해는 보고되지 않았다고 설명했다.
금융위는 소비자 보호조치가 최우선이라며 롯데카드에 철저한 후속 대응을 주문했다. 롯데카드는 유출 가능성이 제기된 17만명 고객을 대상으로 우선 카드 재발급을 안내하고 있으며, 나머지 11만명 역시 순차적으로 조치할 계획이다. 비밀번호 변경, 해외 결제 차단, 카드 이용 한도 축소 등 고객이 선택 가능한 예방 수단도 제공된다. 부정사용 발생 시 전액 보상 원칙도 강조했다.
징벌적 과징금·이행강제금 도입
정부는 책임 소재를 명확히 가리는 동시에 재발 방지 대책도 예고했다. 금융감독원은 현재 롯데카드의 보안 관리 체계를 전면 조사 중이다. 웹서버 관리 소홀, 악성코드 탐지 미흡 등 위규 사항이 드러날 경우 “최대 수준의 엄정한 제재”가 뒤따를 전망이다.
제도 개선 차원에서는 징벌적 과징금 제도가 도입된다. 중대한 보안사고 발생 시 일반적인 과징금 수준을 뛰어넘는 처벌을 부과하고, 당국의 보안 개선 요구를 이행하지 않으면 이행강제금도 부과한다. 또 정보보호최고책임자(CISO)의 권한을 강화하고, 금융사별 보안 수준 공시를 의무화해 소비자가 서비스 선택에 참고할 수 있도록 할 방침이다.
이번 사고는 카드사에 국한된 문제가 아니라 금융권 전반의 보안 취약성을 드러낸 사례로 평가된다. 금융위는 카드사뿐 아니라 은행, 보험사, 저축은행 등 전 금융사를 대상으로 보안 실태 점검을 즉시 개시했다. 초동 조사 과정에서 확인된 취약점은 이미 9월 2일 전 금융권에 전파됐다. 추가 발견 사항도 공유해 유사 사고를 막겠다는 계획이다.
권대영 금융위 부위원장은 “보안 투자를 비용으로 치부하는 안이한 태도가 대형사고를 부른다”며 “금융사 CEO가 직접 보안 체계를 전면 재점검하고, 침해 발생 시 신속한 복구와 피해 구제에 나설 수 있는 만반의 태세를 갖춰야 한다”고 강조했다.
