롯데카드가 외부 해킹 공격을 받아 297만 명의 고객 정보가 유출된 사실이 18일 확인됐다. 970만 명의 회원을 둔 카드사에서 고객 정보의 3분의 1 가까이가 새나간 것도 충격적이지만 이 중 28만 명의 정보는 실제 부정 사용이 가능하다고 하니 말문이 막힐 정도다. 더 심각한 것은 유출된 정보에 주민등록번호는 물론 카드 번호, 유효 기간, 카드고유확인번호(CVC)까지 포함됐다는 사실이다. 온라인 거래에 필요한 핵심 정보가 통째로 털린 셈이다. 유출된 데이터는 200GB에 달했다. 올 4월 SK텔레콤에서 유출된 9.8GB 유심(USIM) 정보의 20배가 넘는다.
이번 사태는 최근 잇따른 해킹 사고의 전철을 고스란히 밟고 있다. 롯데카드는 해킹을 당한 지 17일이 지나서야 이를 인지했고 “개인정보 유출은 없다”고 부인하다가 금융감독원의 조사가 시작되자 말을 바꿨다. 17일이면 유출 정보가 암시장에서 거래되고도 남는다. 앞서 SK텔레콤은 3년간 해킹 사실을 전혀 알지 못했고 KT는 경찰의 경고에도 안이하게 대응했다. 해킹 사고는 더 이상 숨기거나 실수로 덮을 수 있는 문제가 아니다. 고객의 신뢰가 생명인 금융사는 정보 유출에 대해 명확히 책임져야 한다. 그러지 않는다면 “28만 명을 제외하면 부정 사용이 없다”는 해명을 누가 믿겠는가.
올해 들어 해킹 사고는 전방위로 확산되고 있다. 4월 SK텔레콤 해킹 사고 이후 4개월간 예스24·SGI서울보증보험·웰컴저축은행 등이 랜섬웨어 공격을 받았고, KT는 펨토셀을 통한 정보 유출을 겪었다. 전문가들은 이를 ‘예고된 인재’라고 지적한다. 롯데카드 역시 해킹 취약점이 발견된 구형 서버를 그대로 운영해왔다. 매각을 추진 중인 대주주가 보안 투자에 소홀했던 것 아니냐는 의구심이 나온다. 이재명 대통령은 이날 “갈수록 진화하는 해킹 범죄에 맞서 범정부 차원의 체계적 대책을 서둘러야 한다”고 강조했다. 사후약방문식 처벌만으로는 한계가 있다. 기업은 보안을 선택이 아닌 생존 조건으로 인식해 투자를 확대하고 정부는 시스템 개선을 통한 보안 체계 구축에 역량을 집중해야 한다. 금융·비금융으로 이원화된 해킹 대응 체계를 통합하고 부처 간 정보 공유를 의무화하는 ‘사이버 보안 컨트롤타워’ 구축도 서둘러야 한다. 한국은 북한 해킹 집단의 주요 표적이라는 점을 절대 잊어서는 안 된다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
