[해킹전쟁 ①] 통신 이어 카드사까지…안전 지갑 없다

[프라임경제] 디지털이 금융의 기본 인프라가 된 시대에도 보안은 여전히 ‘비용’으로 취급된다. 해커의 공격 방식이 빠르게 고도화되면서 금융권은 방어전에 몰리는 형국이다. 완벽한 차단이 불가능하다면, 관건은 사고 이후 대응 체계다.

롯데카드가 297만명 고객정보 유출 대규모 해킹 사고 이후 조직개편과 인적 쇄신에 나섰지만, 근본적 보안 체계 개선과 책임 규명은 여전히 '공백'으로 남아 있다는 지적이 제기된다. 국정감사에서 보안 예산 확대를 약속했음에도, 사고 이전부터 이어진 예산 축소와 인력 감축 등 구조적 문제에 대한 답변은 부족하다는 평가다. 금융당국은 수시검사에 이어 정기검사까지 일정 앞당겨 착수하며 내부통제 실태를 전면 점검하고 있다.

◆어떻게 뚫렸나…유출 정보량만 200GB, 3만명 회원 탈퇴

롯데카드 해킹 사고는 지난 8월 외부 공격자가 사내 네트워크에 침투해 데이터베이스를 장기간 무단 조회하면서 발생했다. 약 200GB에 달하는 정보가 외부로 빠져나갔으며, 유출된 데이터에는 고객 개인정보뿐 아니라 일부 카드번호, CVC번호까지 포함됐던 것으로 알려졌다. 

지난달 기준, 해킹 사고로 인해 롯데카드 전체 회원 수 297만명 중 △회원 탈퇴 3만700여명 △5만6500여명 △카드 비밀번호 변경 92만2200여명 △카드 재발급 77만8500여명 △카드 정지 18만1900여명이 집계됐다.

롯데카드는 "현재까지 부정 사용 사례는 없다"며 선제 조치라는 입장을 밝혔지만, 일부 고객에게는 '연회비 환급'이나 '무이자 할부 제공'과 같은 제한적 보상안이 안내되며 사실상 실효성이 떨어진다는 지적이 이어졌다.

◆롯데카드, 부사장·본부장급 절반 교체…인적 쇄신 단행

사고 이후 롯데카드는 조직을 전면 개편했다. 최근 이사회에서 본부장 7명 중 4명을 교체하는 인적 쇄신을 단행했다. 부사장급 인사 2명은 임기를 남기고 물러났다.

기존 전략본부 아래에 있던 정보보호실은 CEO 직속 '정보보호센터'로 격상됐다. 보안 관련 의사결정을 최고경영자가 직접 챙기겠다는 의미다. 동시에 개인고객사업부 신설, 지원조직 통합 등으로 사업효율성을 높이겠다는 구상도 내놓았다.

앞서 조좌진 롯데카드 대표는 지난달 21일 국회 과학기술정보방송통신위원회 국정감사에서 "대표를 포함해 대대적 인적 쇄신을 진행하겠다"며 "조직 구조와 정보보호 거버넌스 전반의 변화를 추진하겠다"고 공언한 바 있다.

◆예산 확대에도 '진정성 논란'…금감원, 롯데카드 정기검사 착수

아울러 롯데카드는 국정감사에서 연말까지 보안 예산 1100억원을 투입하겠다고 밝혔다. 전체 예산 대비 보안 예산 비중도 15%까지 확대했다고 강조했다. 하지만 일각에서는 "사후 약방문"이라는 비판이 이어진다.

MBK파트너스 인수 이후 롯데카드가 보안 예산을 줄이고 관련 인력을 축소해 왔다는 지적이 제기되고 있기 때문이다. 구조조정과 비용 효율화 과정에서 보안이 후순위로 밀렸고, 이번 사고는 그 결과라는 해석도 나온다.

금융권 관계자는 "보안 예산을 늘린다고 실행력이 확보되는 건 아니다"며 "취약점 관리와 의사결정 구조가 개선되지 않는 한 유사 사고는 반복될 수 있다"고 말했다.

금융감독원은 지난 10일부터 롯데카드 정기검사에 착수했다. 해킹 관련 수시검사와는 별개로 금감원은 약 4주간 정기검사를 통해 롯데카드의 경영관리 전반을 살펴볼 예정이다. 당초 내년으로 예정돼 있었던 검사 일정이 잇따른 사고로 조기 앞당겨진 것으로 풀이된다.

금감원 관계자는 "여러 해킹 사고가 발생하면서 시기를 조정하게 됐다"며 "경영관리 전반을 살펴보는 데 초점이 맞춰지기에 수시검사와는 개념이 다르지만, 내부통제 관리 상황 등을 살펴보다 보면 사고와 관련된 부분을 같이 살펴보게 될 것"이라고 말했다.

◆카드업계 전반에 경고음…"사후 대응 패러다임 전환 필요"

전문가들은 이번 사고가 롯데카드에 국한된 것이 아닌 금융업권 전반의 사이버 환경을 둘러싼 '실시간 전쟁'이라고 규정한다. 방어 체계가 정교해질수록 해커의 기법도 그 이상으로 진화하고 있다.

롯데카드 관계자는 "공격 방식이 교묘하고 찾기 힘든 것뿐만 아니라 수많은 데이터를 쪼개서 분석하고 어떤 정보가 얼마나 유출됐는지 집계하다 보면 많은 시간이 소요된다"고 말했다.

이처럼 완벽한 차단이 사실상 불가능하다는 전제가 자리 잡으면서, 사후 대응 능력도 보안 경쟁력의 핵심 지표로 부상하고 있다.

금융당국의 제재 과정에서 '사후 대응의 성실성'을 어떻게 반영할지에 대한 논의가 필요하다는 지적이 제기된다. 한 카드사 관계자는 "신속히 신고한 기업과 은폐한 기업을 동일하게 제재한다면, 대부분의 기업이 숨기고 모르는 체할 것"이라며 "결국 피해 규모가 더 커지고 사이버 리스크는 확산된다"고 강조했다.

해킹을 원천 차단하는 것이 불가능하다면, 투명하고 신속한 공개를 장려하는 규정이 필요하다는 것이다. 

향후 롯데카드는 일정 기간 자율 경영보다는 당국 조사와 사법 리스크 대응 등 '위기 관리' 중심의 경영에 집중할 것으로 전망된다.

금융권 관계자는 "사후 대응의 수준을 어떻게 평가할지가 향후 보안 생태계를 좌우할 것"이라며 "사고가 났다고 해서 무조건 강력한 제재만 하는 접근은 현실적인 해결책이 될 수 없다"고 말했다.