대통령 발언에 술렁이는 금융권, 왜?
17일 늦은 발견
1.7GB 데이터 유출
전액 보상 약속
롯데카드 해킹 / 출처 : 연합뉴스
롯데카드 고객들의 불안감이 커지고 있다. 지난달 발생한 해킹 공격으로 개인정보 유출 가능성이 제기된 가운데, 회사 측이 사고를 인지하기까지 무려 17일이나 걸렸다는 것이 드러났기 때문이다.
더욱 충격적인 점은 이번 해킹에 사용된 수법이 이미 2017년에 공개된 낡은 취약점을 그대로 악용한 것이었다는 사실이다. 기본적인 보안 점검만 이뤄졌어도 충분히 막을 수 있었던 사고였던 셈이다.
17일간 몰랐던 해킹의 전말
금융감독원이 국회 정무위 강민국 의원실에 제출한 자료에 따르면, 롯데카드 해킹은 지난 8월 14일 오후 7시 21분경 시작됐다. 해커들은 15일과 16일에도 공격을 이어갔으며, 실제로 내부 파일을 외부로 빼낸 것은 2차례였다.
문제는 롯데카드가 이 같은 침입 사실을 8월 31일 정오가 되어서야 알아챘다는 점이다. 해킹 발생 후 17일이 지나서야 뒤늦게 사태를 파악한 것이다. 금융당국에 신고한 것은 그 다음 날인 9월 1일이었다.
롯데카드 해킹 / 출처 : 연합뉴스
유출된 데이터는 약 1.7기가바이트 규모로 추정된다. 금감원은 “반출 실패한 파일을 토대로 추정할 때 카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다”고 밝혔다. 최소 2~3개월치 결제 내역 등 민감한 정보가 담겨 있을 가능성이 높다는 의미다.
“전액 보상하겠다” 뒤늦은 사과
뒤늦게 사태의 심각성을 인지한 롯데카드는 4일 조좌진 대표이사 명의의 공식 사과문을 발표했다. 조 대표는 “최근 발생한 저희 회사의 사이버 침해 사고로 인해 고객 여러분께 많은 불편과 심려를 끼쳐 드린 점 깊이 사과한다”고 밝혔다.
그는 “이번 사태는 저희 회사의 보안 관리가 미흡했던 데서 비롯된 것”이라며 “고객 여러분의 개인정보를 관리하는 시스템에 외부 해킹에 의한 침투가 있었다는 것만으로도 변명의 여지가 없다”고 인정했다.
롯데카드 해킹 / 출처 : 연합뉴스
조 대표는 현재 관계 기관과 외부 전문 조사 회사와 함께 상세한 피해 내용을 파악 중이라고 설명했다. 또한 현재까지 조사 결과에서는 고객 정보 유출 사실은 확인되지 않았다고 주장했다.
롯데카드는 이번 사고로 발생하는 모든 피해에 대해 전액 보상하겠다는 방침을 거듭 밝혔다. 국내외 모든 의심 거래를 실시간으로 감시하고 있으며, 외부 침입이 발생한 시기에 온라인 결제를 한 고객들에게는 우선적으로 카드 재발급 조치를 진행하겠다고 약속했다.
정부 “징벌적 과징금 검토”… 강력 대응 예고
이재명 대통령은 4일 수석보좌관회의에서 “보안 사고를 반복하는 기업들에 대해 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 관련 조치를 신속히 준비하라”고 지시했다.
롯데카드 해킹 / 출처 : 연합뉴스
이 대통령은 “최근 통신사, 금융사에서 해킹 사고가 잇따르고 있어 국민이 매우 불안해하신다”며 “문제는 이처럼 사고가 빈발하는데도 대응이 또 대비 대책이 매우 허술하다는 것”이라고 지적했다.
강민국 의원은 “올해 6월까지만 해킹 사고 4건에 유출된 정보가 3천142건이나 된다”며 “해킹에 따른 피해에 비해 금융당국 제재 수위가 약한 것도 원인 중 하나”라고 분석했다.
금감원은 현재 금융보안원과 함께 긴급 현장검사에 착수해 고객정보 유출 여부 등을 정밀 조사하고 있다. 금감원은 소비자 피해가 발생하지 않도록 사실관계를 신속히 규명해 필요한 조치를 강구할 것이라고 밝혔다.
정보 유출 사고가 반복되는 상황에서, 기업의 보안 의식 제고와 정부의 강력한 대응이 그 어느 때보다 절실한 시점이다.
