960만 회원을 보유한 롯데카드의 해킹 사고 피해 규모가 예상보다 큰 것으로 파악된다. 피해자 규모가 수십만에서 수백만명까지 나올 수 있다는 관측까지 제기되고 있다.
17일 금융당국과 카드업계에 따르면 금융당국은 이달 초부터 롯데카드 해킹사고에 대한 정보 유출 및 피해자 규모 등을 확인하는 작업을 하고 있으며, 현재 막바지 단계다.
앞서 롯데카드가 발표한 데이터 유출 규모는 1.7기가바이트(GB) 정도지만 금융당국 현장 검사 등을 통해 파악된 피해 규모는 이보다 훨씬 심각한 수준으로 알려졌다. 피해자 규모도 예상했던 수만명 수준을 넘을 것으로 보고 있다.
금융당국 관계자는 “피해 규모가 알려진 것보다 훨씬 큰 것으로 추정된다”면서 “확인 작업이 잘 끝나면 이르면 이번 주에 결과를 발표할 수 있을 것”이라고 말했다.
피해 규모가 커질 것으로 예상되면서 이르면 이번 주 조좌진 롯데카드 대표가 직접 대국민 사과와 피해 대책을 발표할 것으로 알려졌다.
롯데카드 관계자는 “고객 정보 유출이 확인되는 대로 발표할 예정”이라고 말했다.
이번 사고로 롯데카드가 어떤 고객 보상 방안을 내놓을지도 주목된다. 현재 롯데카드는 개인정보 유출 상담센터를 24시간 운영 중이며 이상거래 탐지 모니터링도 계속 강화하고 있다.
앞서 조 대표는 지난 4일 사이버 해킹 침해 사고에 대한 사과문을 올린 바 있다. 이번 침해 사고로 인해 발생한 피해에 대해서는 롯데카드가 책임지고 전액 보상한다는 내용이다.
카드사는 개인정보 유출 시 산업 전반에 부정적인 영향을 끼치기 때문에 높은 수준의 보안기술이 요구되는데 최근 금융권과 통신사 등에서 해킹 사고가 잇따르고 있다. 금융당국은 해킹사고와 관련해 정보보호 의무와 투자를 강화할 것을 주문했다.
이찬진 금감원장은 전날 여신전문금융회사 CEO 간담회에서 사이버 침해 사고에 대해 “정보보안을 위한 장기 투자에 소홀한 결과는 아닌지 뒤돌아 봐야한다”며 “직접 사이버 보안 인프라를 근본적으로 재점검하는 등 정보보호의무를 철저히 준수해 달라”고 당부했다.
이달 2일 임원회의에서는 이 원장은 부정 사용 발생 시 피해액 전액을 보상하는 절차를 마련하라고 지시했다.
롯데카드는 지난달 일부 서버가 악성코드 감염 등 해킹 공격을 당했다. 지난달 15, 16일 서버 점검 중 특정 서버에서 악성코드 감염 사실을 확인했고 전체 서버에 대한 정밀조사를 진행했다. 이 과정에서 세 개 서버에서 2종의 악성코드와 5종의 웹쉘(웹서버에서 파일 조작·정보 유출 등 악성 행위를 원격으로 실행할 수 있게 하는 악성코드)을 발견, 즉시 삭제했다. 이후 같은 달 31일 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도한 흔적이 발견됐다.
문제는 롯데카드가 지난달 중순에 처음 해킹사고가 발생했을 때는 이를 인지하지 못했다는 점이다. 해킹 발생 보름이 넘은 시점인 31일에 이를 알았다. 금융당국에는 이달 1일에 신고했다.
업계에서는 롯데카드의 최대주주가 사모펀드 MBK파트너스라는 점도 주시하고 있다.
롯데카드 지분 59.83%는 한국리테일카드홀딩스(MBK파트너스)가 보유하고 있는데, 롯데카드 인수 후 MBK파트너스가 수익 극대화를 위해 보안 투자를 제대로 하지 않았다는 지적이 계속되고 있다.
현재 MBK파트너스는 홈플러스 사태와 관련해 금융당국 조사와 검찰 수사를 동시에 받고 있다.
이주희 기자 jh224@segye.com
