[뉴스토마토 신수정 기자] 최근 벌어진 롯데카드 해킹 사태를 계기로 정보보호 인증 제도 재정비가 필요하다는 목소리가 커지고 있습니다. 2014년 대규모 고객 정보 유출로 홍역을 치른 바 있는 롯데카드는 인프라 투자를 강화하고 정보보호 인증 획득 등 후속 조치를 취했지만, 유사 사건이 재현되면서 이러한 조치들이 무용지물 아니냐는 지적이 나옵니다.
롯데카드는 지난달 18일 전체 회원 960만명 중 297만명의 고객의 개인정보 약 200GB가 유출됐다고 발표했습니다. 피해 고객 중에서 28만명은 연계정보(CI)와 주민등록번호뿐만 아니라 카드번호, 유효기간, CVC(카드 뒷면 숫자 3자리) 번호 등 민감정보까지 유출돼 부정 결제 가능성도 흘러나옵니다. 롯데카드는 이들에게 연회비를 면제하고 카드를 재발급했으며, 아직까지 부정 결제 사례는 보고되지 않았습니다.
보안 투자 늘리고도 '구멍'
롯데카드 해킹 사고 원인으로 사모펀드 대주주 MBK파트너스의 경영 태만이 도마 위에 올랐습니다. 사모펀드는 통상 대규모 자금을 빌려 인수금융을 일으킨 이후 5년 안팎의 경영을 통해 기업가치를 올리고 다시 되팔아 투자금을 회수하는 방식으로 수익을 올리고 있습니다. 이러한 사모펀드 특성상 MBK파트너스가 2019년 롯데카드 인수 이후 단기 수익 극대화를 위해 보안 투자 비용을 축소한 것이 아니냐는 의심을 받고 있습니다.
MBK파트너스가 1차 엑시트에 실패한 2022년 롯데카드의 보안 투자 집행비는 88억원으로 전년(2021년) 137억원 대비 약 35% 줄었습니다. 지난해 정보보호 예산도 2021년 대비 14.7% 감소한 116억9000만원으로 파악됐습니다.
롯데카드 지속가능경영보고서에 따르면 정보통신(IT) 예산 대비 보안 투자 비중은 2021년 12%에서 2022년 10%, 2023년 8%로 지속적으로 감소했습니다. 2023년 기준 신한카드가 9.3%, KB국민카드가 9.2%, 삼성카드가 8.7% 비중으로 투자한 것과 비교해 소폭 뒤쳐졌습니다.
앞서 회생절차에 들어간 홈플러스 사례도 맞물리면서 MBK파트너스가 롯데카드를 인수한 2019년 이후 보안 투자가 미흡했다는 의혹에 더욱 힘이 실리고 있습니다. MBK파트너스는 홈플러스 인수 뒤 본업으로 경쟁력을 갖추기보다 부동산 알짜 점포를 매각하는 방식으로 투자금을 회수하려 했다는 비판을 받았습니다.
조좌진 롯데카드 대표이사 사장이 지난 18일 서울 중구 부영태평빌딩에서 사이버 침해 사고에 대한 대고객 사과문을 발표한 뒤 취재진 질문에 답하고 있다. (사진=뉴시스)
그러나 MBK파트너스는 해당 의혹에 정면으로 반박했습니다. 조좌진 롯데카드 대표는 지난달 18일 피해 관련 기자회견에서 "MBK파트너스에 인수된 시점은 2019년 10월이며, 2020년 정보보호 투자액은 71억이었다"며 "이후 계속 투자를 늘려 올해 125억원까지 확대됐고, 정보보호 내부 인력도 2019년 19명에서 올해 30명으로 증원했다"고 설명했습니다.
실제 롯데카드 보안 투자 비용은 2019년 71억4000만원에서 2025년 128억원으로 상승했습니다. 분기당 100억원이 넘는 비용을 꾸준히 투입해온 것입니다.
또한 올해 상반기 기준 롯데카드는 320억2500만원을 전산운용비로 사용했습니다. IT 또는 보안 인프라 투자와 관련한 회계처리는 경영공시상 판매관리비 하위 항목인 전산운용비로 책정됩니다. 같은 시기 KB국민카드 453억6300만원, 현대카드 371억5900만원, 우리카드 159억1300만원 등과 비교하면 업계 평균적인 수치를 보이고 있습니다.
롯데카드가 발간한 보고서와 수치가 다른 것에 대해 MBK파트너스 관계자는 "보안 투자와 관련한 인건비 및 외주 비용이 포함되지 않았다"고 부연했습니다.
(그래픽=뉴스토마토)
국내외 최고 보안 인증도 껍데기 불과
롯데카드는 지난 7월 금융보안원으로부터 정보보호 관리체계 인증(ISMS-P)를 받은 지 대략 2주 만에 위와 같은 정보 유출 사고를 마주했습니다. 금융보안원은 금융권 보안 전문 기관이며, 금보원이 공식 인정하는 ISMS-P는 국내 최고 수준의 보안인증제도입니다.
이 밖에도 롯데카드는 국제표준화기구에서 제정한 정보보호 관리 체계에 대한 권위 있는 국제 인증인 ISO27001과 고객 개인정보 및 거래정보를 안전하게 보호하기 위한 국제 결제 데이터 보안 표준인 PCIDSS를 획득했습니다. 두개의 국제 보안 인증은 2023년 11월부터 1년여간 유지됐습니다.
대내외 권위적인 보안인증제도의 인정을 받았음에도 대규모 고객 정보 유출사태가 재발되면서 인증제도 무용론이 불거지고 있습니다. 실질적인 해킹 위험 통제에 한계가 있다는 것이 여실이 드러났기 때문입니다.
인증 제도의 허점은 인증 기관에서도 인정하고 있습니다. 권기남 금융보안원 사이버대응본부장은 지난 19일 과학기술정보통신부와 금융위원회 합동 브리핑에서 "ISMS-P는 정보보호 관리 체계 인증으로만 봐야 한다"며 "인증을 받은 기업들도 해킹이 언제든지 가능할 수 있다"고 말했습니다.
정보보호 관리 체계가 잘 운영되고 있다는 점만 인증받은 것에 불과하며, 해킹 가능성은 언제나 열려 있다는 점을 직접 밝히면서 인증 제도의 신뢰성과 실효성에 의문이 불거지고 있습니다.
정부 "정보보호 체계 전면 재정비" 예고
정부도 최근 통신사, 이커머스, 금융사 등 산업 전반에 걸친 해킹 사고에 경각심을 갖고 대응에 나섰습니다.
이재명 대통령은 직접 범정부 차원의 보안 체계 점검과 대책 마련을 지시했습니다. 대통령실 국가안보실은 보도자료를 통해 “연이은 해킹 사고와 국민의 피해를 엄중히 보고 과기정통부, 금융위, 개인정보위원회, 국정원 등 관계 부처와 민간 전문가가 함께 정보보호 종합 대책을 마련하고 있다”고 전했습니다.
김민석 국무총리는 이날 오전 대규모 해킹 사고와 관련 긴급 현안 점검회의를 열고 통신사와 금융권의 정보보호 체계를 전면적으로 재정비하겠다고 예고했습니다.
아울러 징벌적 과징금과 손해배상 등 후속 조치 도입을 골자로 제도화도 적극적으로 논의되고 있습니다. 권대영 금융위 부위원장은 지난 19일 롯데카드를 겨냥해 “엄정한 결과 책임을 질 수 있도록 징벌적 과징금 도입 등 방안을 신속 추진하겠다”고 밝혔습니다.
국회에서도 징벌적 과징금 도입 법안이 활발히 발의되고 있습니다. 이훈기 민주당 의원이 발의한 개인정보보호법 일부개정안에는 징벌적 과징금을 도입해 과징금 상한선을 전체 매출의 10%로 높이는 방안이 담겼습니다.
조좌진(오른쪽 두번째) 롯데카드 대표이사 사장 등이 사이버 침해 사고에 대한 대고객 사과를 하고 있다. (사진=뉴시스)
신수정 기자 newcrystal@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김의중 금융부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지