[알파경제=이준현 기자] 960만 회원을 보유한 롯데카드에서 발생한 해킹 사고의 피해 규모가 당초 알려진 1.7GB를 훨씬 웃돌아 수백만 명에 달할 수 있다는 관측이 나왔다.

금융당국 조사 결과 초기 신고가 '빙산의 일각'임이 드러나면서, 조좌진 롯데카드 대표는 이번 주 중 대국민 사과에 나설 예정이다.

◇ '1.7GB' 빙산의 일각…피해자 수백만명 현실화되나

17일 금융당국과 카드업계에 따르면 롯데카드와 금융감독원은 해킹 사고로 인한 정보 유출 및 피해자 규모 확인 작업을 마무리하고 있다.

당초 롯데카드가 금감원에 보고한 유출 데이터 규모는 1.7GB 수준이었지만, 현장 검사를 통해 파악된 실제 피해는 이를 훨씬 상회하는 것으로 드러났다.

특히 피해자 수가 기존 예상치를 크게 넘어설 전망이다. 애초 수만 명 수준으로 추산됐던 피해 규모가, 전체 회원의 상당수인 수백만 명에 이를 수 있다는 우려가 현실화되고 있다.

금감원이 국회 강민국 의원실에 제출한 자료에서는 "유출된 정보에 카드 정보와 온라인 결제 요청 내역이 포함된 것으로 보인다"고 밝혔다.

이는 단순한 개인정보 노출을 넘어 실제 금융거래 내역까지 외부로 유출됐을 가능성을 시사한다. 해커들이 확보한 결제 내역 정보는 향후 정교한 보이스피싱이나 스미싱 공격에 악용될 위험이 크다.

조 대표는 이번 주 중 조사 결과와 함께 직접 대국민 사과와 피해 대책을 발표할 것으로 알려졌다.

롯데카드는 "피해 발생 시 전액 보상하겠다"고 약속했지만, 수백만명 규모의 피해자가 현실화될 경우 보상 규모는 막대한 수준에 달할 전망이다.

◇ 17일간 몰랐던 '예고된 참사'

롯데카드가 사고 발생을 인지하는 데 무려 17일이나 걸렸다.

해킹은 지난달 14일 오후 7시 21분경 시작됐지만, 회사가 이를 파악한 것은 31일 정오였다. 금융당국에 신고한 것은 다음 날인 9월 1일이었다.

더욱 심각한 문제는 이번 공격이 '예고된 참사'였다는 사실이다.

해커들은 2017년에 이미 공개되어 오라클이 보안 패치를 배포한 웹로직 서버의 취약점(CVE-2017-10271)을 악용했다. 8년이나 된 알려진 취약점을 방치한 것은 기본적인 보안 관리 부실을 의미한다.

공격자들은 시스템 침투 후 3개 서버에서 5종의 웹쉘을 설치하며 시스템을 사실상 장악했다.

더욱이 회사는 26일 악성코드를 발견하고도 즉시 신고하지 않았고, 5일이 지난 31일에야 유출 흔적을 확인했다고 밝혀 늑장 대응이라는 비판을 피하기 어렵게 됐다.

보안 전문가들은 "현대 금융기관의 보안 시스템이라면 이런 대규모 데이터 유출을 17일간 놓치는 것은 있을 수 없는 일"이라며 "롯데카드의 실시간 감시 체계가 사실상 작동하지 않았다는 뜻"이라고 지적했다.
 

◇ MBK파트너스 '돈 되는 투자만'…보안은 뒷전?

이번 사태의 배경에는 최대주주인 사모펀드 MBK파트너스의 경영 방식이 자리잡고 있다는 비판이 거세다.

롯데카드는 2019년 MBK파트너스-우리은행 컨소시엄에 1조3810억원에 매각됐으며, 현재 MBK가 설립한 특수목적법인이 59.83% 지분을 보유하고 있다.

문제는 MBK파트너스의 단기 수익 중심 경영이 보안 투자 소홀로 이어졌다는 점이다. 실제로 롯데카드의 정보보호 예산은 2021년 137억원에서 2022년 88억원으로 35.4% 급감했다.

전체 IT 예산에서 정보보호 투자가 차지하는 비중도 2021년 12%에서 2023년 8%로 축소됐다.

특히 MBK파트너스 부회장인 김광일 기타비상무이사가 정보보호 관련 이사회에 반복적으로 불참한 것으로 드러났다.

올해 2월 28일과 지난해 5월 18일 정보보호 상시평가 결과가 보고된 이사회에 각각 '기 일정에 따른 별도 회의 참석'과 '외부일정'을 이유로 불참했다.

이찬진 금감원장은 16일 여신금융업계 CEO 간담회에서 "단기 실적에 치중해 장기 투자에 소홀했던 결과는 아닌지 뼈아프게 되돌아봐야 한다"며 MBK파트너스를 겨냥한 발언을 했다. 조 대표는 이 간담회에 불참했다.

MBK파트너스는 현재 홈플러스 채권 사태로도 검찰 수사와 금융당국 조사를 동시에 받고 있어, 사모펀드 운용사의 위험 관리 능력에 대한 의문이 커지고 있다.
 

◇ '3연임' 조좌진, 연임 제동 걸릴까

2020년 3월 취임해 올해 3연임에 성공한 조좌진 대표에게 이번 사태는 최대 위기가 되고 있다.

조 대표는 취임 후 한때 6배가 넘는 순이익 성장으로 경영 성과를 인정받았지만, 지난해 실적 급감에 이어 이번 해킹 사태까지 겹치면서 리더십이 시험대에 오른 모습이다.

조 대표는 사고 이후 외부 일정을 대폭 줄이며 사태 수습에 매달리고 있지만, 17일간 해킹 사태를 인지하지 못한 책임론에서 자유로울 수 없는 상황이다.

특히 롯데카드가 해킹 사고 인지 불과 한 달여 전인 8월 12일 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득했다는 사실은 역설적이다.

국내 최고 수준의 보안 인증을 받고도 8년 된 취약점을 방치했다는 것은 현행 인증 제도의 실효성에도 의문을 제기한다.

정부의 강경 대응도 조 대표에게는 부담이다. 이재명 대통령은 4일 수석보좌관회의에서 "보안 사고를 반복하는 기업들에 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 관련 조치를 신속히 준비하라"고 지시했다.

조 대표의 임기는 내년 3월까지지만, 이번 사태의 수습 결과가 그의 남은 임기는 물론 연임 가도에 중대 변수가 될 전망이다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]