롯데카드는 고객 297만명의 개인정보가 유출된 해킹 사고를 내고도 유출 규모와 내용 등을 모두 자체 파악하는 데 실패하며 사태를 키운 것으로 드러났다.
해킹 발생 한 달여 만에 피해 사실을 알게 된 소비자들은 집단 소송에 나섰다. 방송통신위원회는 22일 롯데카드 고객 정보 유출과 관련, 주민등록번호를 암호화한 '연계정보'(Connecting Information)의 안전조치 및 관리 실태 등에 대한 긴급 점검을 실시한다고 밝혔다.
금융권과 금융당국에 따르면 롯데카드는 실제 정보 유출 규모의 100분의 1 이하인 1.7GB(기가바이트)로 신고한 데 이어 유출 내용과 관련해서도 "암호화된 정보"라며 심각성을 낮게 평가한 것으로 전해졌다.
해킹범들이 빼간 정보들이 모두 암호화된 파일이라 '개인정보 유출'로 보기 어렵다는 입장을 고수한 것이다.
그러나 금융감독원과 금융보안원은 포렌식 조사 등을 거쳐 카드 비밀번호와 CVC 등 민감한 개인정보 일부가 암호화되지 않거나, 암호가 풀린 상태로 빠져나간 것을 확인했다.
그제야 롯데카드는 개인정보 유출을 인정하고 위험군별로 고객을 분류하는 작업에 나선 것으로 알려졌다.
롯데카드는 애초 정보 유출 규모도 1.7GB로 파악해 지난 1일 보고했으나, 금융당국의 합동 조사 개시 이틀 만에 유출 규모는 100배가 넘는 200GB에 달하는 것으로 확인됐다.
금융당국 관계자는 "정보 유출 규모나 내용 등을 확인하는 과정마다 롯데카드가 인정하지 않아 당국이 추가로 확인하고, 증명하는 과정을 거쳤다"고 말했다.
또 다른 관계자도 "합동 검사 결과를 통해 밝혀낸 내용들을 바탕으로 롯데카드에 맞는지 확인을 하는 식으로 조사가 진행됐다"고 말했다.
이러한 과정을 거치면서 지난달 14일 터진 해킹 사고의 피해 규모는 35일이 지난 18일에서야 공식 발표됐다.
롯데카드는 해킹 사고 신고 이후 보름 넘게 홈페이지에 "정보 유출은 없다"는 공지도 띄워놓으며, 피해 사실을 축소하는 데에만 급급한 모습을 보이기도 했다.
뒤늦게 피해 사실을 알게 된 롯데카드 고객들은 집단 소송을 준비하고 있다.
전날 오후 기준 '롯데카드 개인정보 유출 집단소송 카페'에 소송 참여 의사를 밝힌 회원 수는 2,200여명에 달한다.
피해자들은 "보안 관리 능력이 부재할 뿐 아니라 축소·늑장 대응 논란도 있다"며 "부정 사용 사례는 아직 없다고 설명하지만, 해외 결제나 '키인 거래(단말기에 카드번호와 정보를 직접 입력해 결제하는 방식)'에서는 위험 가능성이 크다"고 주장했다.
금융권 정보기술(IT) 영역이 급격하게 커지고 있음에도 인력이나 보안 투자를 비용으로만 인식하는 태도가 연달아 터지는 해킹 사고의 근본 원인으로 지적되기도 한다.
국민의힘 강민국 의원실이 금감원으로부터 제출받은 자료에 따르면 지난 달 말 기준 금융권 IT 인력은 2만6,137명으로 전체 금융권 임직원 수(22만9,271명)의 11%였다.
이 비중은 2023년 10%, 2024년 11% 등으로 10% 선을 유지하고 있는데, IT 업무가 늘어나는 데 비해서 인력 규모나 투자가 정체돼 있다는 지적이 나온다.
롯데카드의 경우 IT 임원은 3명으로 전체 임원(45명)의 7%로 나타났는데, 이는 8개 전업 카드사 중 최하위권으로 나타났다. 전체 카드업권의 IT 임원 비중은 11% 수준이다.
금융권에서는 대주주인 사모펀드 MBK파트너스가 수익 극대화에 치중하면서 보안 투자를 소홀히 한 게 아니냐는 지적이 계속된다.
롯데카드는 5년간 1천100억원을 정보보호 관련 투자를 집행하고, 관련 예산 비중을 업계 최고 수준인 15%까지 확대하겠다고 약속했다.
