최근 롯데카드에서 발생한 해킹 사태를 두고 기업 내부의 관리 부실이 불러온 '예견된 인재(人災)'라는 지적이 제기돼 주목된다. 정보보호 투자 비중 축소, 보안 이슈에 대한 경영진의 안일한 인식 등 사이버 보안에 대한 총체적 부실이 총 960만명 가량의 개인정보 유출 피해 우려를 낳고 있는 사태의 근본 원인이라는 비판이 일고 있다.
960만명 개인정보 노린 해킹 사태 발발…안일한 보안 인식이 부른 인재(人災) 가능성
3일 금융감독원에 따르면 롯데카드는 지난달 31일 오후 12시경 라인 결제 서버에서 외부 공격자의 자료 유출 정황을 포착하고 정밀 조사에 돌입했다. 해킹 사고의 최초 발생 시점은 지난달 14일이며 이튿날인 15일까지 온라인 결제 서버 해킹이 이뤄졌다. 그 기간 무려 두 차례나 내부 파일이 외부로 반출됐다. 지난달 16일에도 한 차례 해킹 시도가 있었으나 이때는 파일 반출에 실패했다. 롯데카드는 최초 사고 발생일로부터 17일 만에 해킹 사태를 인지한 것이다.
두 차례에 걸친 해킹 피해로 인해 외부로 유출된 데이터 규모는 약 1.7기가바이트(GB)에 달한다. 금감원은 "반출 파일에 포함된 정보의 구체적 내용을 파악 중이며 반출 실패한 파일을 토대로 추정할 때 카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다"는 분석을 내놨다. 금감원은 이번 사태 해결을 위해 비상대응체계를 가동하고 현장검사를 통해 사고 원인 및 피해 규모 등을 철저히 점검하겠다는 방침이다.
현재 금융권 안팎에선 카드 이용 정보 등의 민감한 자료까지 몽땅 털린 초유의 해킹 사태를 두고 보안에 대한 안일한 인식이 부른 '예견된 인재'라는 지적이 제기되고 있다. 앞서 롯데카드가 보안 관련 예산을 축소하고 관련 교육조차 소홀히 진행한 것으로 밝혀졌기 때문이다.실제로 2021년 롯데카드는 IT 관련 예산의 12% 가량을 정보보호에 투자했으나 2022년에는 10%, 2023년에는 8% 등 해마다 투자 비중을 줄였다. 불과 2년 만에 4%p 가량 감소한 것이다. 반면 같은 기간 전산운용비는 오히려 늘었다. 롯데카드의 전산운용비는 2021년 480억1400만원, 2022년 552억8600만원, 2023년 634억8800만원으로 해마다 늘어났다. 전산운용비란 카드사가 전산 시스템 관리 및 유지·보수에 투입하는 전반적인 비용이다.
롯데카드의 내부 임직원들의 보안 인식도 비교적 안일했던 것으로 나타났다. 일례로 지난해 7월 사외이사를 대상으로 진행된 사이버보안 교육에는 이태희 사외이사 단 한 명만이 교육에 참석했다. 당시 롯데카드의 사외이사는 ▲이태희 사외이사 ▲이명섭 사외이사 ▲김수진 사외이사 ▲박건수 사외이사 ▲이복실 사외이사 등 총 5명이었다.
회사 내부의 사이버 보안에 대한 낮은 인식은 회사의 '이중 중대성 평가' 결과에서도 여실히 드러났다. '이중 중대성 평가'는 회사 내부의 이슈들을 재무·환경·사회 등의 분야에 어느 정도 영향을 미치는지 각각 평가해 그 중에서 중요한 이슈를 걸러내는 작업이다. 지난해 롯데카드는 이중 중대성 평가를 통해 ▲고객정보 및 데이터 보안 강화 ▲윤리·준법경영 고도화 ▲금융소비자 보호 ▲지역사회 상생 및 사회공헌 확대 등을 중요한 이슈로 선정했다.
당시 평가에서 롯데카드는 고객정보 및 데이터 보안 강화 이슈에 대해 "정보보안 체계 미흡으로 인한 고객 개인(신용)정보 유출 시 개인 프라이버시 침해 및 금융사기, 보이스피싱 등 고객 금전적 피해 발생 우려된다"면서도 심각성은 보통 정도로 평가했다. 반면 "사이버 보안사고 발생으로 인한 과징금 부과 또는 영업 제재는 재무적 손실을 야기한다"며 재무적 피해를 더욱 심각하게 고려했다. 보안 관련 사고에 있어 고객의 개인정보 유출 보단 과징금, 영업제재 등의 재무적 피해를 더욱 심각하게 여겼다는 방증이라는 지적이 나오는 배경이다.
전문가들 역시 롯데카드 해킹 사태의 핵심 원인은 '보안에 대한 회사 내부의 안일한 인식'이라고 입을 모았다. 조연행 금융소비자연맹 대표는 "이번 사태의 가장 큰 원인은 기업이 사이버 보안을 가볍게 여겼기 때문이다"며 "특히 금융사에서 보안 이슈는 고객의 신뢰와 직결된 생명줄과도 같은 부분이라는 것을 간과한 것 같다"고 지적했다.
김계수 세명대 경영학과 교수는 "롯데카드의 해킹 사태는 기업이 보안 투자와 교육을 우선시하지 않으면서 발생한 예견된 인재다"며 "사이버 보안의 중요성을 경영진이 간과하거나 이를 제대로 반영하지 않으면 결국 기업의 존폐를 위협할 정도의 신뢰 하락을 불러일으킬 수 있다"고 강조했다.
한편, 일련의 사안과 관련해 롯데카드의 입장을 듣기 위해 수 차례 연락을 시도했지만 끝내 입장을 들을 수 없었다.
Copyright ⓒ 르데스크 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
