[서울타임즈뉴스 = 허성미 기자] 국내 카드업계를 강타한 롯데카드 대규모 정보 유출 사태의 피해 규모가 최종 확인됐다. 금융당국 조사 결과 전체 회원 약 960만 명 중 297만 명의 정보가 유출된 것으로 나타났다. 당초 롯데카드가 금융감독원에 신고한 1.7GB 수준보다 100배 이상 많은 200GB에 달하는 데이터가 외부로 빠져 나갔다.

주민등록번호, CI(연계정보), 가상 결제코드 등 핵심 결제·인증 데이터가 대량 유출되며 금융 인프라 전반의 신뢰가 흔들리고 있다. 18일 서울 부영태평빌딩에서 열린 긴급 기자회견에서 조좌진 롯데카드 대표는 “297만명의 고객 정보가 유출된 사실을 확인했다”며 “사고로 인한 피해는 전액 보상하고, 2차 피해 발생 시에도 책임지고 보상하겠다”고 밝혔다.

롯데카드는 부정사용 위험이 큰 28만 명을 대상으로 우선 재발급 조치를 진행중이다. 연회비 면제·해외결제 차단·SMS 알림 무료 제공 등 긴급 보호조치를 시행한다. 사태의 심각성을 더하는 것은 롯데카드의 늦장 대응이다.

최초 해킹은 8월 14일 발생했으나 회사 측은 17일이나 지나서야 사고를 인지했다. 이 과정에서 고객 보호조치도 지연됐다. 보안 패치가 적용되지 않은 구형 결제 서버가 해킹의 통로였다는 사실이 드러나면서 “예방 가능했던 사고”라는 비판이 커지고 있다. 특히 롯데카드가 해킹 직전 ‘ISMS-P’ 보안인증 획득을 대대적으로 홍보했던 점은 보안관리 실효성에 대한 근본적 의문을 낳았다.

정부와 금융당국은 이번 사태를 계기로 강도 높은 제재와 제도 개선에 나선다. 이재명 대통령은 “보안사고를 반복하는 기업에는 징벌적 과징금을 포함한 강력한 대책을 마련하라”고 지시했고, 금융감독원은 전 카드사를 대상으로 긴급 보안 점검을 시행중이다.

금융위원회는 CISO 권한 강화, 보안 예산·인력 공시 의무화, 이사회 심의·의결 의무 부여 등 금융권 보안체계 전면 개편을 예고했다. 이번 사고는 롯데카드 매각 작업에도 직격탄이 될 전망이다. 최대주주 MBK파트너스가 최근 3년간 정보보호 예산 비중을 12%→10%→8%로 줄였다는 사실이 국회 자료로 드러나며 ‘보안 홀대’ 논란이 확산됐다. MBK가 수익성 개선에만 치중했다는 비판 속에 매각 협상은 난항을 겪을 것으로 보인다.

롯데카드는 향후 5년간 1100억원의 정보보호 예산을 투입해 업계 최고 수준인 IT 예산 대비 15%로 비중을 확대하고, 전담 레드팀을 신설해 모의 해킹 훈련을 상시화할 계획이다. 이번 롯데카드 사태와 관련, 카드업계도 긴장하는 분위기다. 신한·KB국민·우리·BC·현대카드 등 주요 카드사는 보안관제센터를 24시간 비상 가동하고 침해사고 대응반을 운영하고 있다.