롯데카드 해킹 후폭풍 거세…보상 부실에 집단 소송ㆍ당국 고강도 제재 검토

[서울와이어=박동인 기자] 롯데카드에서 발생한 대규모 고객정보 유출 여파가 점차 확산되고 있다. 개인정보보호위원회가 롯데카드에 대한 본격적인 조사에 나선 데 이어 방송통신위원회도 주민등록번호 등 연계정보 관리 실태 점검을 예고하면서 사태는 금융당국 전반의 관리 체계 점검으로 번지고 있다.

23일 금융권과 카드업계에 따르면 전날 개보위는 롯데카드의 고객정보 유출 경위와 관리 체계 전반에 대한 사실 확인 절차에 돌입했다. 특히 카드번호·CVC 등 민감정보가 암호화되지 않은 상태에서 유출됐는지, 유출 사실을 소비자에게 고지하는 과정에서 법적 의무를 제대로 이행했는지 등을 집중 점검할 예정이다. 같은 날 방통위도 주민등록번호 등 연계정보 취급 과정에 위법 소지가 있었는지 여부를 확인하기 위해 관리 실태 조사에 착수했다.

금융감독원 역시 여신전문금융업법 위반 여부 등에 대한 정밀검사에 착수하면서 해킹 침투 경위와 정보 암호화 수준, 유출 사실 공지 지연 등 롯데카드의 전반적인 보안 관리 실태가 당국의 집중 점검 대상이 되고 있다.

◆보안 투자 축소 논란에 보상 반발까지… 불신 커지는 롯데카드

이번 롯데카드 사태의 논란은 초동 대응에서 비롯됐다. 롯데카드는 처음 내부 보고에서 유출 파일 용량을 약 1.7GB로 파악했다고 발표했지만, 실제 확인된 자료는 200GB에 달했다. 피해 고객 범위도 이름·생년월일 수준으로 안내했다가 뒤늦게 카드번호·유효기간·CVC번호, 비밀번호 일부까지 포함됐다는 사실이 드러났다. 안내 문자를 받은 고객이 며칠 뒤 정정 통보를 다시 받는 사례까지 나오면서 축소·늑장 대응 의혹은 불신을 키웠다.

논란이 확산되자 조좌진 롯데카드 대표이사도 결국 고개를 숙였다. 그는 해킹사고가  공개화되자 지난 18일 기자회견을 열고 “297만명 고객정보 유출에 대해 깊이 사과드린다”며 “재발 방지를 위해 보안 투자 확대와 시스템 전면 재정비에 나서겠다”고 밝혔다.

조 대표는 23일 오전 국회 정무위원회가 주최한 '롯데카드 개인정보 유출 사태, 피해자 보호 방안 및 재발 방지 대책 간담회'에 출석해 "어제 저녁까지 28만명 중 66%에 해당하는 18만 4000명에 대해 카드 재발급과 비밀번호 변경을 완료했다"고 말했다.

이어 "매일 2만 명 정도 고객들에 대해 카드 재발급을 하고 있어 아주 빠르면 이번 주, 늦어도 다음 주까지는 부정거래 가능성을 축소시키겠다"고 말했다.

조 대표는 이날 국회에 출석해 "개인정보 유출 사태로 인해 불편과 심려를 끼쳐드려 국민께 진심으로 사과드린다" 거듭 고개를 숙였다.

개인정보 유출 여파는 날이 갈수록 심화되고 있다. 그중에서도 보안 관리 부실이 도마에 올랐다. 국회에 제출된 자료에 따르면 롯데카드의 정보보호 예산 비중은 2020년 IT예산 대비 14.2%였으나 올해 9.0%로 떨어졌다. 이는 카드사 중에서도 감소 폭이 가장 큰 수치다.

이에 대해 MBK 측 관계자는 “정보보호 예산 축소라는 지적은 설비투자(Capex)만을 기준으로 해석한 것일 뿐 사실과 다르다”며 “Capex와 Opex를 함께 고려하면 롯데카드는 지속적으로 보안 역량을 강화해왔다”고 반박했다. 하지만 소비자들 사이에서는 이미 유출 규모와 피해 범위가 번복된 데 대한 불신이 깊어진 상태이기 때문에 투자 규모와 무관하게 불안은 오히려 확산되는 모습이다.

피해 고객 보상 대책이 미흡했다는 점 역시 사태를 악화시키는 요인이다. 롯데카드는 뒤늦게 모든 고객에게 연말까지 10개월 무이자 할부를 제공하겠다고 발표했지만 소비자들의 반발은 오히려 거세졌다. 카드번호·CVC까지 유출된 상황에서 할부 혜택이 무슨 실질적 보상이냐는 불만이 쏟아졌고, 일각에서는 “고객 불안을 달래기보다는 카드 사용을 유지시키려는 조치 아니냐”는 지적까지 나왔다.

연회비 면제나 신용 관리 서비스 제공도 일부 피해자에 국한돼 체감 효과가 크지 않다는 목소리가 나오면서 보상안은 결국 논란만 부추긴 셈이 됐다. 이처럼 롯데카드에 대한 불신이 깊어지자 피해자들 사이에서는 개별 대응으로는 한계가 있다는 인식이 확산됐다. 피해를 주장하는 고객 약 5800명은 집단소송 참여 의사를 밝혔고 추가 참가자를 모집하는 온라인 커뮤니티도 늘고 있다. 

◆당국 조사·국회 압박…법적·정치적 파장 확산

금융당국은 이번 사태가 단순한 보안 사고를 넘어 제도 위반 여부까지 가려야 할 중대한 사안이라는 입장이다. 이종오 금감원 부원장보는 “롯데카드 검사를 통해 사실을 파악한 뒤 내부 통제 소홀 등에 대해 엄중 제재할 예정”이라며 조사 결과에 따라 과징금, 영업정지, 임원 해임 권고 등 고강도 제재 조치까지 검토할 수 있다고 밝혔다.

특히 개인정보보호법 위반이 확인될 경우 대규모 과징금과 함께 임원 해임 권고나 영업정지 같은 고강도 제재로 이어질 수 있다는 전망도 나온다. 일각에서는 2014년 카드 3사 개인정보 유출 사태 이후 최대 규모 제재가 현실화될 수 있다는 관측까지 제기되고 있다.

정치권도 압박 수위를 높이고 있다. 국회 정무위원회는 전날 ‘롯데카드 개인정보 유출 사태, 피해자 보호 방안 및 재발 방지 대책 간담회’를 열고 금융당국과 롯데카드 경영진에 피해자 보호와 보안 강화 대책을 강하게 촉구했다. 정무위는 이번 사태를 단순 보안 실패가 아닌 구조적 관리 부실로 규정하며 감독당국이 사후 제재에만 머물러서는 안된다고 강조했다.

강민국 국민의힘 의원은 “휴대폰과 신용카드는 현대인의 필수품인데, 최근 잇따른 정보 유출은 금융사가 단기 수익을 위해 정보보호를 간과한 인재(人災)”라고 지적했으며, 윤한홍 정무위원장은 “MBK가 롯데카드를 매각할 계획이 있으면서 5년간 1100억원을 보안에 투자하겠다는 것은 국민을 속이는 것”이라며 대주주 책임을 직접 겨냥하기도 했다.

전문가들은 정치권의 공세가 단순한 보여주기식 압박에 그치지 않을 것이라고 내다본다. 국회가 제도적 보완책을 추진하면서 ▲정보보호 투자 비율 의무화 ▲사고 발생 시 즉시 고지 의무 강화 ▲감독기관 인증 절차 재검토 등의 구체적 논의로 이어질 가능성이 높다는 전망이다.

업계 관계자는 “2014년 카드 3사 유출 사태 이후 강화됐던 규제가 시간이 지나면서 느슨해진 측면이 있다”며 “이번 롯데카드 사태처럼 대규모 유출 사태가 반복되면 업계 전체 신뢰가 무너질 수 있기 때문에 일정 수준의 규제 강화는 불가피하다”고 말했다.