해킹으로 인해 롯데카드 회원 296만9000명의 개인정보와 200GB에 달하는 정보가 유출된 사건과 관련해 금융당국은 철저한 조사를 통해 개인정보 관리와 정보보호 체계에서 미흡한 점이 확인될 경우, 최대 수준의 제재를 예고했다. 또한 정보 유출로 인한 피해를 막기 위한 예방 대책과 피해 발생 시 소비자 보호 방안을 차질 없이 이행할 것을 당부했다.
18일 금융위원회는 권대영 부위원장 주재로 롯데카드 정보유출 관련 긴급 대책회의를 열어 이같이 밝히며 금융감독원, 금융보안원, 롯데카드 등과 구체적인 유출상황을 공유하고 대응방안을 논의했다.
먼저 금감원은 개인 신용정보 관리·정보보안 등 관련 위규사항에 대해 검사를 통해 낱낱이 파악해 엄정한 조치를 취한다는 방침이다. 현재 웹서버 관리, 악성코드 감염 방지 등 사태 전반에 대한 검사가 진행 중에 있으며, 개인정보와 정보보안 관리가 허술한 것이 드러나면 최대 수준의 제재가 이뤄질 것으로 전망된다.
롯데카드 해킹 사고를 시간순으로 보면 지난달 12일 새벽 3시 43분경 해커(공격자)가 최초로 잠입, 13일 온라인 결제 서버 내 악성코드(웹셀)를 설치하고 14일 최초로 내부 파일을 외부로 유출, 15일 두 번째 파일을 유출함과 동시에 온라인 결제 로그 파일 유출을 시작했고 AD서버에 악성코드를 감염시켰다. 롯데카드는 26일 AD서버 악성코드 감염을 처음 확인하고 관련 네트워크를 단절했다. 이후 31일 정오 무렵 내부 파일이 유출된 것을 인지하고 다음 날 금융당국에 침해 사실을 신고했다.
롯데카드가 금융당국에 신고했을 때는 1.7GB 규모의 정보가 유출됐고 개인정보 유출이 확인되지 않았다고 했으나, 금감원과 금보원이 현장조사에 착수해 정보 유출 경위·내용, 보안관리 위규사항 등 조사과정에서 총 200GB의 정보 유출이 확인됐다. 미상의 해커는 지난달 14일부터 27일 기간 중 200GB의 정보를 유출한 것이다.
롯데카드가 뒤늦게 대규모 정보 유출이 있었다고 인정한 것인데, 이에 대해 롯데카드 측은 침해 사실을 확인한 지난달 31일에는 개인정보 유출 여부를 확인하기 어려운 상황이라고 설명했다.
유출된 정보는 고객 296만9000명의 개인신용정보가 포함됐으며 이중 약 28만3000명(9.5%)은 카드비밀번호와 카드 핵심 정보인 CVC도 유출된 것으로 파악됐다. 다만, 롯데카드 측은 현재까지 부정결제 피해를 확인된 바 없다는 입장이다.
금감원과 금보원은 사고 인지 시점 등에 대해 조사를 진행하고 있으며 늦장 보고를 한 사실이 확인되면 이에 상응하는 제재를 부과할 예정이다.
금융당국은 금융회사의 보안관리 체계를 근본적으로 강화하기 위한 제도개선 과제도 추진한다. 보안 외규행위에 대한 금융사의 사전적 경각심 강화 및 사후적 일벌백계 차원에서 중대한 보안사고 발생 시 일반적 과징금 수준을 뛰어넘는 징벌적 과징금을 도입하고, 정부의 보안수준 개선요구를 제대로 이행하지 않으면 지속적인 이행강제금을 부과하는 등 금융보안에 긴장감 있는 관리가 이뤄지도록 한다는 계획이다.
한편, 현재 정보가 유출된 롯데카드 회원 대상으로 안내 메시지를 개별 발송 중이다. 개인정보 유출 여부는 롯데카드 앱 또는 홈페이지, 고객센터를 통해 확인할 수 있다.
이주희 기자 jh224@segye.com
