960만명을 회원으로 둔 롯데카드의 해킹 대처능력을 보면 혀를 내두를 정도다. 이 회사가 18일 발표한 조사 결과에 따르면 297만명의 회원 정보가 유출됐는데 온라인 결제 과정에서 연계 정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류 등이 모조리 털렸다. 특히 28만명은 카드 부정 사용이 발생할 가능성이 큰 비밀번호 두자리,유효기간, CVC 번호까지 털리는 초대형 사고임이 드러났다.
더욱 우려스러운 대목은 카드사와 금융보안원(FSI)의 태만이 어우러진 정황까지 드러났다는 점이다. 롯데카드는 지난달 14일 내부 파일이 처음 유출된 뒤 15일에도 추가 유출이 있었고, 16일에도 해킹이 재차 시도됐지만 실패한 것으로 확인됐다. 그런데도 회사는 이를 눈치채지 못하다가 12일이나 지나서야 서버 동기화 과정에서 공격 정황을 인지했다. 전 서버 정밀 조사와 보고는 그로부터 다시 며칠이 지나서야 이뤄졌다. 이처럼 허술한 보안 관리를 해 온 롯데카드가 해킹 직전, FSI로부터 ‘국내 최고 수준의 보안관리체계(ISMS-P)’ 인증을 받았다는 사실에 더 기가 막힌다. 당시 롯데카드는 해당 인증이 사이버 침해 위협에 효과적으로 대응하고 기업의 정보보호 체계가 적합하게 운영되는지를 심사하는 공인된 인증제도라고 강조했다. 그런데 공교롭게 이틀 뒤 해킹을 당했는데 FSI가 인증 심사를 제대로 했는지 의문시된다. 더구나 해킹 징후를 감지하지 못한 FSI가 금융감독원과 함께 해킹 사고를 조사하는 걸 누가 납득할 수 있을까.
이런 수준의 사전 대처능력이라면 해킹 사태가 특정 기업에 그치지 않을 수 있다는 데 문제의 심각성이 있다. 금융위원회의 관리·감독 하에 금융보안원이 카드사 뿐 아니라 은행 증권 보험 등 금융권 해킹 사건에 대응하고 있다고 한다. 차제에 정부는 보안 인증 제도와 감독 시스템이 전시행정에 그치고 있는 건 아닌지 면밀히 점검할 필요가 있다. 이재명 대통령이 징벌적 과징금까지 언급하며 강력한 제재를 지시했지만 기업 제재만으론 수박 겉핥기에 그칠 공산이 크기 때문이다.