조좌진 롯데카드 대표이사 등 관계자들이 18일 오후 서울 중구 부영태평빌딩에서 열린 언론 브리핑에서 롯데카드 대규모 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다. 류영주 기자롯데카드의 허술한 보안관리로 고객 신용카드의 카드번호와 CVC까지 무더기 유출된 해킹사고가 롯데카드 회원들에게 충격과 불안감을 던져주고 있다. 롯데카드의 최대주주인 사모펀드 MBK파트너스 고객정보 관리수준이 엉망이란 사실이 만천하에 드러났다.
이번 해킹사고의 충격파가 클 수 밖에 없는 이유는 온라인 결제의 마지막 키(KEY)와도 같은 CVC가 유출됐기 때문이다. CVC 즉, 카드 보안 코드(Card Verification Code)는 카드 앞면 또는 뒷면에 적힌 3~4자리 숫자로, 온라인 결제 때 카드의 소유자라는 걸 확인하고 부정사용을 방지할 목적으로 사용된다.
거의 모든 온라인거래를 할 때, 거래의 최종단계에서 카드소지자는 CVC번호의 입력을 요구받게 된다. 보통은 3자리인 이 번호를 입력하는 순간 거래가 성사되기 때문에 번호입력에 최대한 신중을 기하게 된다.
롯데카드 조좌진 대표는 18일 고객정보 해킹에 대해 사과를 하면서 "이번에 유출된 정보 가운데는 롯데카드 소지자 28만명의 카드번호와 CVC가 포함됐다"고 확인했다. 고객의 돈이 빠져나가는 정보가 유출된 것도 문제지만 이 정보가 빠져나간 경로에 대한 설명에 국민들은 아연실색할 수 밖에 없었다. 특히 카드소지자들은 귀를 의심할 지경이었다.
왜냐하면 유출된 핵심 결제정보가 '2025년 7월22일~8월27일 사이 온라인 결제과정에서 생성된 정보'라는 설명 때문이다. 해커가 어떤 경로로 침입했고 얼마나 지속적으로 고객 정보 유통상황을 지켜봤는 지 모르지만, 손바닥 보듯 들여다보며 범행을 했을 개연성이 높아 보인다. 최신 정보 그것도 바로 결제를 할 수 있는 정보만 타겟팅해서 빼돌린 건 롯데카드 고객정보가 무방비라는 의미와 같다.
롯데카드측은 "28만명은 위 기간에 카드정보를 신규등록한 경우로 (카드)부정사용 가능성이 있다고 판단하고 있다"고 설명했다. 카드번호와 CVC가 유출돼 도용될 수 있다는 것이다. 신용카드를 이용하는 국민들이 신용카드를 결제수단으로 이용하는 것은 내 재산이나 거래가 안전하다는 믿음 때문이고 일정한 수수료를 부담하는 이유이다.
960만명의 회원을 확보한 카드사 보안이 이 정도 수준이라면 누군들 롯데카드를 믿고 거래를 할 수 있겠는가? 특히 롯데카드는 잊을만하면 금융사고를 일으키는 문제회사로 이번 해킹사고로 인해 이용자들의 불안감은 더욱 커지고 있다.
최재웅 롯데카드 마케팅본부 전무가 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 한 뒤 고객지원 방안에 대해 설명하고 있다. 연합뉴스지난 2014년에는 K사(社)의 파견직원이 롯데카드 내부 전산시스템에 접근해 고객정보를 대량 복제한 뒤 빼돌려 불법 브로커에게 판매한 전력이 있어 벌써부터 부실한 내부보안시스템의 문제점이 지적됐었지만, '허술한 보안은 그대로' 라는 사실이 새삼 드러났다.
사고가 나고 금융당국 조사 결과 피해규모가 눈덩이처럼 불어나자 뒷북대응책을 내놓는 것도 한 두 번이지 최근 잇따라 발생하는 금융사의 보안문제는 해당회사의 안전불감증과 부실투자 문제를 넘어 금융당국의 책임도 작다고 할 수 없다. 자율적으로 모든 걸 잘해낸다면 최고지만 이윤을 목적으로 하는 기업에게만 안전을 맡기는 건 고양이에게 생선가게를 맡기는 것과 크게 다르지 않다. 감독당국이 존재하는 이유는 이런 사각지대를 메우라는 것이다.
MBK가 지배하는 롯데카드가 보여준 해킹사고는 부실한 안전관리와 사고축소의 민낯을 그대로 드러냈다는 지적도 받았다. 8월 중순에 해킹이 발생했지만 그로부터 2주가 지난뒤에야 금융당국에 신고가 이뤄졌고 정작 롯데카드측이 해킹 지점을 인지한 시점은 8월26일이다.
이때까지 자사의 보안시스템과 데이터베이스에 어떤 일이 벌어졌는 지 조차 몰랐다는 얘기다. 롯데카드가 애초 1.7GB라고 했던 유출정보량은 총 297만명 200GB이상인 것으로 잠정 파악돼 피해규모 축소 의혹까지 사고 있다.
연합뉴스파장이 걷잡을 수없이 커지자 부랴부랴 사과를 하고 모든 피해에 대해 책임을 지겠다고 나섰지만 피해보상으로만 끝날 문제가 아니다. 롯데카드의 보안에 허점이 생긴 이유와 이 과정에서 최대주주인 MBK측의 과실은 없었는 지 명명백백하게 밝혀내고 필요하다면 사법당국의 수사가 이뤄져야 한다.
금융당국은 최근 부쩍 늘어나는 금융기관의 보안사고에 대한 국민적 불안감을 감안, 모든 금융기관들에 대한 실태조사와 추가사고의 발생을 막기 위한 대책을 강구해야 한다.