롯데카드가 해킹 사고를 당하고도 보름 넘게 이를 인지하지 못한 것으로 드러났다. 금융 당국은 이번 사고로 카드 부정 사용 등 피해가 발생하면 피해액 전액을 보상하는 절차를 마련하도록 지시했다.
금융감독원이 2일 국회 정무위원회 소속 강민국 의원실에 보고한 자료에 따르면 롯데카드에 해킹 사고가 발생한 시점은 지난달 14일 오후 7시 21분쯤이다. 하지만 롯데카드는 이를 지난 31일 정오에 파악했고, 금융 당국 신고는 그다음 날인 1일 이뤄졌다.
해커는 지난달 14일과 15일 두 차례 온라인 결제 서버를 해킹해 롯데카드 내부 파일을 반출했다. 롯데카드는 이때 1.7GB(기가바이트) 규모의 데이터가 유출됐다고 추정하고 있다. 해커는 지난달 16일에도 해킹 시도를 했지만 이때는 파일 반출에 실패했다.
금감원은 구체적인 사실관계 확인을 위해 이날 현장검사에 착수했다. 금감원은 “반출에 실패한 파일을 토대로 추정할 때 카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다”고 말했다. 고객 정보 유출 가능성이 있다는 뜻이다.
이찬진 금감원장은 이날 임원 회의에서 카드 부정 사용 등 피해가 발생하면 피해액 전액을 보상하는 절차를 마련하라고 롯데카드에 지시했다. 여신전문금융업법과 카드사 약관에 따르면 카드가 해킹이나 도난 등으로 부정하게 사용되면 카드사가 손실을 책임지게 돼 있다.
또 롯데카드에 전용 콜센터를 운영하고 이상 금융 모니터링을 강화하라고 요청했다. 이 밖에도 해킹 피해를 직접 차단할 수 있도록 카드 해지 또는 재발급 절차를 홈페이지에 별도 안내하도록 했다. 금감원에는 비상대응체계를 가동해 상황에 따라 소비자 유의사항을 전파하는 ‘소비자경보’ 발령을 하도록 지시했다.
이 원장은 “금융회사 경영진은 정보보안을 단순한 규제 준수 차원이 아닌 고객 신뢰 구축의 기반으로 삼아야 한다”며 “최고경영자(CEO) 책임하에 금융보안 관리체계를 전면 재점검해야 하며, 관리 소홀로 인한 금융보안 사고에 대해서는 엄정하게 제재할 것”이라고 말했다.
이광수 기자 gs@kmib.co.kr