960만 회원을 보유한 롯데카드의 정보 유출 규모가 전체 회원의 3분의 1 수준에 달하는 것으로 드러났다. 조좌진 롯데카드 대표는 본인 사임을 포함해 연말까지 대규모 인적쇄신을 하겠다고도 밝혔지만 경영진뿐 아니라 대주주 책임론도 거세지고 있다. 

대주주인 사모펀드 MBK파트너스가 엑시트를 위한 '몸집 불리기'에만 몰두, 정작 가장 중요한 금융소비자 보호는 등한시 했다는 비판이 나온다.

금융감독원·금융보안원 조사 결과 롯데카드 회원 중 297만명의 개인신용정보가 유출됐다. 이 중 약 28만명(9.5%)는 카드비밀번호와 CVC도 유출된 것으로 파악됐다. ▷관련기사: 롯데카드, 297만명 정보유출…28만명은 CVC까지 다 털렸다(9월18일).

이번에 유출된 회원 정보는 7월 22일~8월 27일 사이 온라인 결제 과정에서 생성·수집된 데이터로 연계 정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류 등이다. 정보 유출은 온라인 결제 서버에 국한돼 오프라인 결제와는 무관하다는 것이 롯데카드 측 설명이다. 

다만 롯데카드가 사고 확인 이후 본인 인증 조치를 강화해 현재까지 부정결제 피해 사실은 확인되지 않았다. 롯데카드 고객센터에 부정사용으로 신고된 내역도 아직까지는 없는 것으로 나타났다.

"보안 예산 비중 10%…가이드 웃돌아" 해명

이번 사고로 롯데카드의 내부 정보보호 관리 소홀 문제가 도마에 올랐다. 롯데카드의 매각을 추진 중인 MBK파트너스가 수익 극대회에 치중한 결과가 아니냐는 지적도 나온다. 

MBK파트너스는 지난 5월부터 롯데카드의 재매각을 추진 중이다. 몸값이 과도하다는 비판에 가격도 기존 3조원에서 2조원 수준으로 낮췄지만, 시장의 반응은 여전히 냉담한 상황이다.

조좌진 롯데카드 사장은 "매년 정보보안 운영과 IT 투자를 꾸준히 강화 중이며 정보보호 인력도 확대 운영 중"이라며 "정보보안 예산의 경우 전체 IT 예산의 7%정도로 가이드라인이 있는데, 롯데카드는 10% 수준으로 운영 중"이라고 해명했다. 

대부분 카드사는 올해 2월 개정 전 전자금융감독규정 제8조를 가이드라인으로 삼아 정보보호 예산을 운영 중이다. 

여기에는 △정보기술부문 인력은 총 임직원수의 100분의 5 이상 △정보보호인력은 정보기술부문 인력의 100분의 5 이상 △정보보호예산을 정보기술부문 예산의 100분의 7 이상이 되도록 해야 한다는 내용이 포함돼 있다.

다만 현재 개정전자금융감독규정은 '금융회사 또는 전자금융업자는 정보기술 및 정보보호 분야별 전문성을 갖춘 인력과 충분한 예산을 확보해야 한다'고 명시하고 있다. 

최근 5년 예산·인력 살펴보니…

롯데카드에 따르면 최근 5년간 롯데카드의 정보보호 투자비용은 △2021년 137억1000억원 △2022년 88억5000만원 △2023년 114억9000만원 △2024년 116억9000만원 △2025년 128억1000만원이다. 롯데카드의 전체 IT비용 대비 10~15%에 해당하는 수준이다. 전체 IT 비용 대비 비중은 2021년 15%에서 2025년 10%로 5%포인트 줄었다. 

정보보호 인력은 2021년 15명에서 2025년 30명으로 2배 증가했다. 다만 전체 IT인력 대비 비중은 41%에서 20%로 감소했다.

조 대표는 "향후 5년간 1100억원의 정보보호 관련 투자를 집행해 IT 예산대비 정보보호 예산 비중을 15%까지 확대하겠다"며 "1년에 220억원가량을 투자하겠다는 것"이라고 설명했다. 

이를 통해 자체 보안관제 체계를 구축해 24시간 실시간 통합보안 관제체계를 강화하고, 전담 레드팀을 신설해 해커의 침입을 가정한 예방 활동을 상시화한다. 전사 IT 시스템 인프라도 정보보호 중심으로 전면 개편한다. 

금융권 한 관계자는 "IT나 정보보안의 경우 관련 시스템을 구축하는 시기와 그렇지 않을 때의 예산이 차이가 날 수 있다"면서도 "비중 역시 전체 IT예산이나 인력이 얼마나 늘어나는지에 따라 다를 수 있다"고 말했다. 

놓친 서버 하나가 결국…"인재"

그러나 평소 내부통제나 서버 취약점에 대한 점검이 미흡했다는 지적은 피하지 못할 것으로 보인다. 

금융권 또 다른 관계자는 "사실 해커들의 공격은 계속 있다"며 "막느냐 못막느냐의 문제이고 물론 해커들도 더 고도화 되고 있지만 금융회사도 그만큼 사전 준비를 잘 해야 한다"고 말했다. 

이번에 해커들이 이용한 'CVE-2017-10271' 오라클 웹로직 취약점은 이미 2017년에 패치가 배포된 사항이었지만, 롯데카드는 해당 보안 업데이트를 적용하지 않은 상태였다. 사고 발생 이후 17일간 내부 파일 유출이 방치됐다는 비판이 나오는 이유다.

조 대표는 "패치 부분은 2017년에 업데이트 했어야 했지만, 48개 중 서버 하나를 놓쳤다"며 "그 부분은 해외 한 페이사인데, 이 페이사를 거친 거래가 계속 없었기 때문"이라고 설명했다.

그는 "이를 놓친 것은 인재라고 생각한다"면서도 "하지만 롯데카드의 정보보호실의 노력이 없었던 것은 아니다"라고 해명했다.