결국 인재로 드러난 롯데카드 해킹 사태[기자수첩]

[이데일리 김나경 기자] 297만 회원의 개인정보가 유출된 롯데카드 해킹 사고는 롯데카드의 내부통제 실패와 금융당국의 허술한 관리감독, 사고를 선제로 막아야 할 제도 미흡 등이 복합적으로 작용한 ‘인재(人災)’였다. 우선 롯데카드는 스스로 마련한 규정조차 지키지 않았다. 지난 2017년 웹 서버 관리에 사용 중이었던 미국 오라클 웹로직의 보안패치 취약점을 인지했지만 올해까지 갱신하지 않았다. 최고경영자(CEO)의 상황 인식과 대응 또한 안이하다. 조좌진 대표는 지난 18일 기자회견에서 “48개 패치를 업데이트했어야 했는데 1개를 놓쳤다. 그 작은 부분을 놓친 것은 분명히 인정한다. 그러나 최근 5년간 회사 정보보호실이 다른 회사에 비해 상당히 차별화된 노력을 충분히 했다”고 말했다. 정보보호 주관부서가 자체 보안사고대응지침을 위반한 데 대한 언급이나 재발방지대책은 이날 기자회견에서 없었다. 48개 중 ‘사소한 하나’가 결국 297만 회원에게 개인정보를 지키지 못한 것이다. 지난 7월 중순 SGI서울보증 랜섬웨어 공격 사태가 일어났을 때 롯데카드에서 보안패치를 업데이트 했더라면 정보유출을 막을 수도 있었을 터다.

다른 금융사의 사례를 타산지석 삼아 내부통제를 충실히 강화하지 않았다는 점에서 롯데카드의 사전예방 조치가 아쉬울 수밖에 없다. 금융위원회와 금융감독원 등 당국의 책임도 가볍지 않다. 사이버 보안·개인정보 보호라는 큰 물줄기에 발 빠르게 대응하지 못했다. ‘나는 해킹위에 기는 당국’의 행태에 혀만 찰 뿐이다. 징벌적 과징금, 강제 이행금과 같은 제재는 ‘사후약방문’일 뿐이다. 연일 ‘금융소비자 보호’를 강조하는 이억원 금융위원장과 이찬진 금감원장도 멋쩍어졌다.

정보보호 관련 제도의 문제도 있다. 당장 ISMS-P와 같은 정보보호 인증제도만 해도 금융사가 개인정보 관련 비용을 아끼기 위해 ‘인증서를 돈 주고 산다’는 지적이 끊이지 않는다. 고객의 신용을 자산으로 하는 금융권에서 계속해서 이 같은 사고가 이어진다면 그 결과는 금융사 패가망신으로 이어질 수밖에 없다.

[이데일리 이영훈 기자] 조좌진 롯데카드 대표이사(왼쪽 다섯 번째) 등 관계자들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다.