일요주간 - ＂무방비 상태의 고객들＂... 롯데카드, 해킹 사고 17일 늑장 신고 논란 속 공지조차 홈페이지에만

▲ 롯데카드가 해킹 공격 정황을 확인하고 금융당국에 신고했다. 롯데카드는 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 것을 확인했다. 사진은 서울 종로구 롯데카드 본사. (사진=newsis)

[일요주간=임태경 기자] 롯데카드에서 내부파일 유출 시도가 사흘간 이어졌음에도 불구하고 18일이나 지나 금융감독원에 늑장 신고한 사실이 드러나 카드정보 등 온라인 결제내역 유출 가능성에 대한 우려가 커지고 있다.

국민의힘 강민국 의원이 지난 2일 금융감독원으로부터 제출받은 ‘롯데카드사 침해사고’ 보고에 따르면, 롯데카드 내부파일 유출 시도는 지난 8월 14일 오후 7시 21분 처음 발생했으며, 16일까지 사흘간 이어졌다. 이 과정에서 14일과 15일 두 차례 실제 파일 유출이 있었던 것으로 조사됐다.

유출 경로는 온라인 결제 서버 해킹을 통한 외부 반출이었으며, 16일에도 추가 시도가 있었지만 당시에는 반출에 실패했다. 문제는 롯데카드가 해당 사실을 8월 31일 오후 12시에야 인지하고, 9월 1일 금융감독원에 보고했다는 점이다. 실제 유출 발생 시점과 카드사가 사고를 인지한 시점 간에 무려 17일이나 차이가 난 셈이다.

강민국 의원은 “금융감독원은 ‘반출된 파일의 구체적인 내용은 확인 중이지만, 반출 실패한 파일 분석 결과, 카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다’고 밝혔다”며 이는 곧 고객 개인정보 유출 가능성이 크다는 의미라고 지적했다.

▲ 롯데카드는 공식홈페이에 해킹 사고와 관련해 사과문을 공지했다. (사진=롯데카드 홈페이지 캡처)

롯데카드는 대응 방안으로 ▲백신 추가 설치 ▲악성코드 진단 강화 ▲유출 가능 고객 대상 카드 비밀번호 변경 안내 등을 금융감독원에 보고한 상태다.

강 의원은 “올해 6월까지 해킹 사고 4건으로 이미 3142건의 정보가 유출됐다”며 “피해 규모에 비해 금융당국의 제재 수위가 약한 것도 문제의 원인 중 하나”라고 지적했다.

이어 “해킹사고에 따른 개인정보 유출은 2차·3차 범죄로 이어질 수 있는 대형 금융사고인 만큼 금융당국의 제재 강화가 시급하다”고 강조했다.

▲ 롯데카드는 공식홈페이에 해킹 사고와 관련해 사과문을 공지했다. (사진=롯데카드 홈페이지 캡처)

롯데카드 회원인 A 씨는 본지와 통화에서 “카드사로부터 해킹 관련 공지 문자 메시지가 오지 않아 답답한 마음에 2일 롯데카드 고객센터에 문의해보니 상담사가 ‘(해킹으로) 고객 개인정보가 유출됐다는 증거가 아직 발견되지 않아 공식적으로 고객들에게 통보할 단계가 아니다’고 했다”며 “언론을 통해 이 같은 사실을 접하지 못한 고객들도 있을 텐데, 그들은 사실상 무방비 상태에 놓여 있다. 개인정보가 유출 됐다는 명확한 증거가 나오지 않았다는 이유로 고객들에게 통지 하지 않는 것은 사후약방문 꼴이 될 수 있어 문제가 있어 보인다”고 말했다. 

본지 취재 결과, 롯데카드는 공식홈페이지 상에서만 해킹 사고에 대해 공지하며, 사고 예방을 위해 카드 비밀번호 변경 또는 카드 재발급 신청을 안내하고 있다.

한편, 롯데카드는 지난 1일 홈페이지 상에 공지를 통해 해킹 사고에 대해 사과문을 게재했다.

롯데카드는 “롯데카드를 믿고 이용해 주신 회원님께 사과 말씀 드립니다. 최근 저희 온라인 결제 시스템에서 외부 해커의 침투 흔적이 발견되어 조사 중에 있으며, 현재까지 조사된 바에 의하면 개인정보 유출 사실은 확인되지 않았습니다”고 밝혔다.

이어 “현재 외부 조사 기관과 추가 조사 중이며, 결과가 나오는 즉시 상세한 내용은 회원님께 다시 안내 드리겠습니다”며 “저희 롯데카드는 회원님의 피해 예방을 위해 최선의 지원을 다 하겠습니다. 회원님께 불편과 불안을 드린 점 진심으로 사과드립니다”고 사과문을 올렸다.

[저작권자ⓒ 일요주간. 무단전재-재배포 금지]