국내 5위 카드사인 롯데카드에서 사상 초유의 대규모 해킹 사고가 발생했다. 전체 회원의 3분의 1에 달하는 297만명의 개인정보가 유출됐고, 이 중 28만명은 카드번호와 비밀번호 일부, 유효기간, 심지어 CVC번호까지 새어나간 것으로 확인됐다. 피해 규모는 지난 4월 발생한 SK텔레콤 개인정보 유출 사고의 20배에 달하며, 당초 롯데카드가 금융당국에 보고했던 수치보다 무려 100배 이상 불어난 수치다.
이번 해킹은 지난 8월 14일 발생했지만 롯데카드는 무려 17일이 지난 31일에야 사고를 인지했다. 그 사이 온라인 결제 서버에서 두 차례에 걸쳐 대량의 데이터가 외부로 반출된 것으로 드러났다. 금융권에 따르면 실제 유출된 데이터는 최대 200GB에 달할 것으로 추정된다. 이는 개인정보 보호 관리 체계가 사실상 무력화됐음을 의미한다.
특히 온라인 결제 과정에서 카드 결제 핵심 정보가 포함돼 일부 해외 결제 가맹점이나 키인(Key-in) 결제 단말에서 부정 사용이 가능하다는 지적이 나온다. 금융당국 관계자는 “CVC까지 유출됐다면 해외 부정 결제 위험이 현실화될 수 있다”며 우려를 표했다. 현재 국내 330만개 가맹점 가운데 약 3만8천 곳이 키인 방식을 활용하고 있는 상황이다.
롯데카드는 긴급 대응책을 내놓았다. 유출 고객 전원에게 연말까지 10개월 무이자 할부 서비스를 제공하고, 금융 피해 발생 시 전액 보상하겠다고 약속했다. 특히 28만명의 고위험 고객에게는 카드 재발급과 차년도 연회비 면제 혜택을 지원한다. 또한 FDS(이상거래탐지시스템) 모니터링을 한층 강화하고, 해외 온라인 결제 시 본인 확인 절차를 거쳐야만 승인하도록 차단망을 구축했다.
그러나 늑장 대응과 보안 투자 부족에 대한 비판은 거세다. 금융당국은 18일 긴급 대책회의를 열고 “최대 수준의 엄정한 제재”를 예고했으며, 업계에서는 롯데카드의 대주주인 MBK파트너스가 단기 실적에 치중한 나머지 보안 투자를 소홀히 했다는 책임론이 불거지고 있다.
이재명 대통령도 즉각 대응을 주문했다. 대통령실에 따르면 이 대통령은 “잇따른 해킹 사고에 근본적인 종합대책이 필요하다”며 관계 부처에 강력한 대책 마련을 지시했다. 전문가들은 인공지능(AI) 등 신기술을 활용한 해킹이 교묘해지는 만큼, 기업뿐 아니라 정부 차원에서도 보안 체계를 전면 재정비해야 한다고 지적한다.
이번 사건은 카드사에 대한 신뢰뿐 아니라 국내 금융권 전반의 보안 체계를 뒤흔드는 중대한 분수령이 될 전망이다. 롯데카드가 약속한 ‘1100억원 규모의 보안 투자’와 전면적 시스템 개편이 얼마나 신뢰 회복에 기여할 수 있을지가 향후 최대 관건이 될 것으로 보인다.