사흘간 이어진 해킹 몰라, 17일 만에 침해 정황 인지
"정보 유출 없다"는 해명에도, 가입자들 불안감 호소 잇따라
인증 수여 이틀 만에 사고, 금융당국 감독 부실 논란 확산
[서울=뉴스핌] 이윤애 기자 = "고객 정보 유출 사실은 확인되지 않았다"는 롯데카드의 해명을 과연 믿을 수 있을까.
 |
| [서울=뉴스핌] 이윤애 기자 = 이윤애 금융증권부 차장 2022.07.12 yunyun@newspim.com |
국내 6위 카드사인 롯데카드가 해킹 공격을 당한 지 보름이 지나서야 침해 사실을 알았다. 해커는 지난달 14일부터 사흘간 지속적으로 침입했고 16일에도 추가 공격을 시도했다. 그러나 롯데카드는 31일 정오가 되어서야 정황을 인지했고 금융감독원 신고는 다음날에서야 이뤄졌다. 그 기간 동안 고객 정보가 무방비로 노출됐다는 점에서 충격은 크다.
유출된 데이터는 1.7GB(기가바이트)에 달하며 카드 정보와 온라인 결제 내역이 포함된 것으로 추정된다. 일부 서버에서는 추가 반출 시도도 확인됐다. 그럼에도 롯데카드는 "정보 유출은 없다"는 답변만 반복한다. 하지만 한 가입자는 "보름 전부터 피싱 메일이 쏟아지고 있다"고 호소한다. 현실과 동떨어진 안이한 대응이 불안을 더 키우고 있다.
조좌진 롯데카드 대표는 "모든 책임은 나와 회사에 있다"며 사과하고 "추가 피해가 드러날 경우 전액 보상하겠다"고 밝혔다. 그러나 '추가 피해'의 범위가 어디까지인지 불분명하다. 카드 결제 내역만 해당되는지 개인정보 2차 피해까지 포함하는지조차 설명하지 않았다. 결국 '전액 보상'이라는 말은 기준 없는 임시방편에 불과하다.
금융당국 역시 책임에서 자유롭지 않다. 해킹 직후 불과 이틀 만에 롯데카드가 금융보안원으로부터 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받은 사실까지 드러났다. 감독 체계가 형식적 점검에 머물렀음을 보여주는 대목이다. 사고가 터지고 나서야 조사에 나서는 관행, 사후 규명에만 치중하는 감독 시스템은 이번 사태의 또 다른 원인이라는 비판을 피하기 어렵다.
가입자들은 결국 스스로 움직이고 있다. 온라인 커뮤니티에는 집단소송을 준비하는 카페가 개설돼 가입자들이 직접 참여 의사를 밝히고 있다. "내 정보가 어디까지 털렸는지조차 알 수 없는 상황에서 더는 가만히 있을 수 없다"는 목소리가 커지고 있다.
결국 남는 질문은 하나다. 해커가 가져간 정보의 범위는 어디까지이며, 그 피해는 누가 어떻게 책임질 것인가. 이찬진 금융감독원장은 "관리 소홀로 인한 사고에 대해서는 강력히 제재하겠다"고 경고했지만 지금까지 금융사 보안 사고에 대한 제재가 '솜방망이'에 그쳤다는 비판은 여전하다. 롯데카드의 "전액 보상"이라는 '선언' 역시 소비자 불안을 덮기에는 턱없이 부족하다. 롯데카드 사태는 여전히 진행 중이다.
yunyun@newspim.com
