[롯데카드 해킹 사태] 조좌진號 내부통제 노력 '공염불'

[마이데일리 = 최주연 기자] 롯데카드가 대규모 해킹 사고로 조좌진 대표이사(사장)의 내부통제 노력이 ‘공염불’이 될 위기다. 조 사장은 과거 100억대 배임사고 이후 이사회 내 내부통제위원회를 신설하는 등 내부통제 방향을 제시하려 노렸했지만, ‘홈플러스 사태’로 곤욕을 치렀다. 이후 최고 수준 보안 인증을 획득하는 등 이미지 쇄신 중 이번 해킹 사고가 발생했다.

롯데카드는 17일간 해킹 사고를 인지하지 못한 사실은 인정하고 있지만 그 원인에 대해서는 이렇다 할 입장을 내지 않고 있다. 다만 기존 보도와는 다르게 고객 정보 유출에 대해선 부인하고 있다.

4일 롯데카드 관계자는 마이데일리와 통화에서 “17일간 해킹 사실을 인지하지 못한 점에 의문이 많으신데 해킹을 애초에 당한 것부터 잘못된 일”이라면서 “자체 조사 결과 개인 정보 유출이 되진 않은 것으로 확인됐지만 금융당국이 추가적으로 조사 중”이라고 밝혔다.

취재를 종합하면, 롯데카드는 지난달 26일 서버 점검 중 특정 서버에서 악성코드 감염사실을 확인, 전체 서버 대상으로 정밀 조사를 진행했다. 전체 서버 점검 후 3개 서버에서 2종의 악성코드와 5종의 웹셀(WebShell, 공격자가 서버를 원격으로 조종할 수 있는 프로그램)을 발견, 즉시 삭제 조치 이후에도 추가 조사를 진행됐다.

이후 롯데카드는 지난달 31일 온라인 결제 서버에서 8월 14일과 15일 외부 공격자가 자료 유출을 시도했던 흔적을 발견, 외부 조사업체에 의뢰해 정보유출 여부 등 정밀 조사를 진행했다. 롯데카드는 다음날인 지난 1일 오전 10시에 금융감독원 신고를 마쳤다.

일부 보도에서는 외부 유출된 데이터가 약 1.7기가바이트(GB) 정도라고 알려져 있지만 롯데카드는 개인 정보 유출은 없었다고 주장하고 있다. 본지 확인 결과 현재 금융감독원과 금융보안원이 추가 조사를 진행 중이며, 롯데카드 측은 “최종 조사 결과가 나온 이후에 판단하는 게 합리적”이라는 입장이다.

‘엎친 데 덮친 격’ 홈플러스 사태 이후 해킹

이번 사고가 조좌진 롯데카드 사장의 내부통제 노력을 무색하게 만들었다는 평가가 나온다. 롯데카드는 2023년 100억원대 배임사고 발생 이후인 이듬해 8월 업계 최초로 이사회 내 내부통제위를 신설하는 등 당국의 내부통제 강화 기조에 속도를 맞췄다. 카드사 등 여신업권 책무구조도 적용은 내년임에도 불구하고 은행권과 같은 속도로 내부통제 정책을 선제적으로 적용한 것이다.

조 사장은 롯데카드 내부 시스템의 ‘글로벌 스탠더드’를 지향했다. 앞서 롯데카드는 2021년 업계 처음으로 국제표준화기구(ISO)로부터 준법경영시스템(ISO37301) 공식 인증을 받았고, 해킹 직전인 지난달 13일에는 금융보안원으로부터 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득했다. 이 인증은 △사이버 침해 위협 대응 △기업의 정보보호 체계와 △고객의 개인정보보호 관리체계 운영 역량을 심사하는 공인 인증 제도로서, 국내 최고 수준의 관리체계 인증으로 평가된다.

심지어 ISMS-P 인증 획득으로 정보보호최고책임(CISO) 역할을 수행하는 정보보호실 임원이 롯데카드 보안 체계와 성과를 홍보하는 언론사 인터뷰를 진행하기도 했다. 공교롭게도 보도 시점(24일)은 해킹이 이미 일어난 때다.

한편 ‘홈플러스 사태’도 롯데카드 발목을 잡는 이슈다. 지난 7월 검찰은 홈플러스 자금난 은폐 개입 의혹에 롯데카드 본사를 압수수사 했으며 현재도 수사 진행 중이다. 롯데카드 대주주인 MBK파트너스 경영진이 홈플러스 신용등급 하락을 인지하고도 카드대금을 기초로 하는 유동화 증권 및 자산유동화 전자단기사채(ABSTB) 발행하며 이 사태가 발발했다. 엎친 데 덮친 격으로 해킹에 따른 내부통제 이슈가 발생했다.

전문가는 금융권 보안 이슈도 내부통제 범주에 들어가며 보안담당 임원도 책무구조도 상 책무를 지게 된다고 했다. 다만 여신전문회사의 책무구조도는 내년부터 적용된다.

금융권 내부통제 전문가는 “전산 보안도 전자금융거래법과 금융회사 지배구조법에 근거한 내부통제 강화 범주에 들어간다”며 “내부통제위원회도 전산 보안 관련해서 감독을 해야 할 책무가 있고, CISO도 책무구조도 상 금융 사고에 대한 책무를 갖는다”고 강조했다. 이어 “카드사이기 때문에 아직 책무구조도가 작성이 안 된 상태일텐데 그렇다고 책임이 없다고 말할 수는 없다”고 덧붙였다.