[현장] '297만명 정보 유출' 조좌진 롯데카드 대표 "CEO 포함 인적 쇄신"

[마이데일리 = 최주연 기자] 롯데카드 해킹 사고로 인한 데이터 유출 규모가 200기가바이트(GB)로 최종 확인된 가운데 조좌진 대표가 최고경영자(CEO)를 포함한 인적 쇄신을 연말까지 마무리하겠다고 밝혔다. 이는 조 대표 본인의 사임까지도 염두에 둔 발언으로 이번 사고 책임을 CEO가 모두 지겠다는 의도로 풀이된다.

다만 조 대표는 일각에서 지적한 롯데카드 최대주주 MBK파트너스의 책임론에는 선을 그으며 “가장 큰 책임은 CEO”라는 입장을 반복했다.

18일 조 대표는 이날 오후 서울 중구 부영태평빌딩에서 기자회견을 열고 이번 해킹 사고와 관련해 “고객 불편을 최소화하는 임무를 롯데카드 대표이사로서 마지막 책무라는 결연한 마음으로 최선을 다하겠다”며 대고객 사과 및 고객 보호 조치 등을 밝혔다.

롯데카드에 따르면 외부 해킹 공격으로 총 297만명 고객 정보가 유출됐다. 이중 28만명이 이번 정보 유출에 카드 부정사용으로까지 이어질 수 있는 것으로 드러났다. 온라인 신규 등록 시 필요한 △카드번호 △유효기간 △CVC 번호 등이 유출된 것으로 확인됐으며 아직까지 신고 된 피해 사례는 없는 것으로 전해졌다.

이는 롯데카드가 줄곧 ‘개인정보유출은 없었다’는 입장과 상반된다. 회사는 이달 초 당초 1.7GB 데이터 유출이 있었다는 당국 언급에도 고객 정보 유출 사실을 인정하지 않았다.

하지만 뚜껑을 열어보니 예상 유출량의 100배를 넘어가는 200GB 유출 사실이 드러났다. 이는 지난 4월 SK텔레콤의 유출 규모(9.82GB)의 20배가 넘는 규모다.

롯데카드는 피해액 전액 보상과 정보가 유출된 고객 전원에게 연말까지 금액과 관계없이 무이자 10개월 할부 서비스를 제공하겠다며 적극적인 보상을 약속했다. 정보 유출 부정사용이 우려되는 28만명에 대해서는 카드 재발급 시 내년까지 연회비를 한도 없이 면제토록 한다.

오늘부터 개별적인 유출 안내 메시지 발송과 사이버 협박에 의한 손해 발생 시 금융 피해 보상 서비스 및 카드 사용 알림 서비스를 연말까지 무료로 제공한다.

“CEO 포함한 연말까지 인적 쇄신”

조 사장은 이번 해킹사태를 경영 전반 메커니즘을 근본적으로 혁신하는 계기로 삼겠다고 약속했다. 현재 기능 중심으로 구성된 조직을 고객 가치‧보호 중심으로 대전환하며, CEO를 포함해 대대적인 인적 쇄신을 연말까지 완료하겠다고 했다.

조 사장은 “고객 한 분 한 분에 대한 편리와 정보 보호를 할 수 있는 구조 체계를 만들겠다”면서 “그런 철학 하에 조직을 재구성하는 게 첫 번째고, 저를 포함해 충분히 시장에서 납득할 만한 수준의 인적 쇄신을 하겠다고 약속드린다”고 했다. 그는 “물론 사임까지 포함된다”라고 덧붙였다.

정보보호 관련 투자 확대도 약속했다. 조 대표는 “향후 5년간 정보 보호 관련 1100억원 투자를 집행함으로써 IT 예산 대비 정보 보호 예산 비중을 업계 최고 수준인 15%까지 확대 운영”하겠다며 “이를 통해 자체 보안 관제 체제를 구축하고 24시간 실시간 통합 보안 관제 체제를 강화, 전담팀을 신설해 해커의 진입을 가정한 예방 활동을 상시적으로 준비하겠다”고 밝혔다.

MBK파트너스 인수 후 정보보호 투자 두 배

다만 조 대표는 최대주주인 MBK파트너스의 보안부문 투자 소홀이 이번 해킹 사태를 키운 것 아니냐는 지적에는 선을 그었다. 정보보호 관련 투자금액이 MBK파트너스 인수 후 크게 증가했다는 점을 근거로 들었다.

조 대표는 “MBK 파트너스가 롯데카드를 인수한 것이 2019년 10월이고 당시 정보보호 외부인력은 19명, 투자금액은 71억원에 그쳤다”며 “이듬해 3월 제가 (롯데카드) 보임 이후 내부정비 작업을 했고, 2021년에는 (정보보호 관련) 시스템 고도화 등을 위한 137억원 투자를 진행했다”고 해명했다.

그는 “지금은 정보보호 인력도 30명으로 4년 사이 2배가 늘었다”면서 “나름대로 하이테크를 활용했고 (부적절한 시그널을) 신고하는 직원에게 별도의 상을 내리는 등 정보보호와 관련해서는 상당히 높은 관심과 투자와 노력을 했었다”고 말했다. 조 대표는 “그러한 노력이 이번 침해 사태를 막을 만큼 충분했느냐라는 부분에 대해서는 반성의 여지가 많이 남고 결국 그 부분에 대한 가장 큰 책임은 CEO인 제가 져야 한다”고 강조했다.

한편, 이번 롯데카드 해킹 사고는 사고 발생 후 회사가 17일간 인지하지 못한 이유에 대한 관심이 쏠렸다. 이번 고객 정보 유출은 8월 14일 처음 발생했고 롯데카드는 8월 31일 인지했다.

이와 관련해 최용혁 롯데카드 정보보호실장은 “일반적인 침해 행위들과 조금 다른 수법을 활용했고 서버 자체가 사용이 거의 없는 서비스였기 때문에 인지가 늦어진 부분이 있었다”며 “튀는 부분이 있었으면 확인을 했을 텐데 롯데카드 직원 작업과 구분이 거의 안 되는 방식으로 해킹이 일어났다”고 설명했다.