| ▲ (출처:알파경제 유튜브) |
[알파경제=영상제작국] 960만 회원을 보유한 롯데카드에서 발생한 해킹 사고의 피해 규모가 당초 알려진 1.7GB를 훨씬 웃돌아 수백만 명에 달할 수 있다는 관측이 나왔습니다. 금융당국 조사 결과 초기 신고가 '빙산의 일각'임이 드러나면서, 조좌진 롯데카드 대표는 이번 주 중 대국민 사과에 나설 예정입니다.
당초 롯데카드가 금융감독원에 보고한 유출 데이터 규모는 1.7GB 수준이었으나, 현장 검사를 통해 파악된 실제 피해는 이를 훨씬 상회하는 것으로 드러났습니다. 특히 피해자 수가 기존 예상치를 크게 넘어설 전망이며, 애초 수만 명 수준으로 추산됐던 피해 규모가 전체 회원의 상당수인 수백만 명에 이를 수 있다는 우려가 현실화되고 있습니다.
금융감독원이 국회 강민국 의원실에 제출한 자료에 따르면, 유출된 정보에는 카드 정보와 온라인 결제 요청 내역이 포함된 것으로 보입니다. 이는 단순한 개인정보 노출을 넘어 실제 금융거래 내역까지 외부로 유출됐을 가능성을 시사하며, 해커들이 확보한 결제 내역 정보는 향후 정교한 보이스피싱이나 스미싱 공격에 악용될 위험이 큽니다.
롯데카드가 사고 발생을 인지하는 데 무려 17일이나 걸렸습니다. 해킹은 지난달 14일 오후 7시 21분경 시작됐지만, 회사가 이를 파악한 것은 31일 정오였고 금융당국에 신고한 것은 다음 날인 9월 1일이었습니다. 더욱 심각한 문제는 이번 공격이 '예고된 참사'였다는 사실입니다.
해커들은 2017년에 이미 공개되어 오라클이 보안 패치를 배포한 웹로직 서버의 취약점(CVE-2017-10271)을 악용했습니다. 8년이나 된 알려진 취약점을 방치한 것은 기본적인 보안 관리 부실을 의미합니다. 공격자들은 시스템 침투 후 3개 서버에서 5종의 웹쉘을 설치하며 시스템을 사실상 장악했습니다. 더욱이 회사는 26일 악성코드를 발견하고도 즉시 신고하지 않았고, 5일이 지난 31일에야 유출 흔적을 확인했다고 밝혀 늑장 대응이라는 비판을 피하기 어렵게 됐습니다.
이번 사태의 배경에는 최대주주인 사모펀드 MBK파트너스의 경영 방식이 자리 잡고 있다는 비판이 거셉니다. 롯데카드는 2019년 MBK파트너스-우리은행 컨소시엄에 매각됐으며, 현재 MBK가 설립한 특수목적법인이 지분을 보유하고 있습니다. 문제는 MBK파트너스의 단기 수익 중심 경영이 보안 투자 소홀로 이어졌다는 점입니다. 실제로 롯데카드의 정보보호 예산은 2021년 137억원에서 2022년 88억원으로 35.4% 급감했습니다.
전체 IT 예산에서 정보보호 투자가 차지하는 비중도 2021년 12%에서 2023년 8%로 축소되었습니다. 금융감독원장은 최근 간담회에서 "단기 실적에 치중해 장기 투자에 소홀했던 결과는 아닌지 뼈아프게 되돌아봐야 한다"며 MBK파트너스를 겨냥한 발언을 했습니다.
2020년 3월 취임해 올해 3연임에 성공한 조좌진 대표에게 이번 사태는 최대 위기가 되고 있습니다. 조 대표는 취임 후 한때 순이익 성장으로 경영 성과를 인정받았지만, 지난해 실적 급감에 이어 이번 해킹 사태까지 겹치면서 리더십이 시험대에 오른 모습입니다.
조 대표는 사고 이후 외부 일정을 대폭 줄이며 사태 수습에 매달리고 있지만, 17일간 해킹 사태를 인지하지 못한 책임론에서 자유로울 수 없는 상황입니다. 특히 롯데카드가 해킹 사고 인지 불과 한 달여 전인 8월 12일 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득했다는 사실은 역설적입니다. 국내 최고 수준의 보안 인증을 받고도 8년 된 취약점을 방치했다는 것은 현행 인증 제도의 실효성에도 의문을 제기합니다.
대통령은 최근 "보안 사고를 반복하는 기업들에 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 관련 조치를 신속히 준비하라"고 지시했습니다. 조 대표의 임기는 내년 3월까지지만, 이번 사태의 수습 결과가 그의 남은 임기는 물론 연임 가도에 중대 변수가 될 전망입니다.
알파경제 영상제작국 (press@alphabiz.co.kr)
