여야 막론하고 롯데카드 정보보호 체계 허술함 지적
조 대표 “카드 재발급 100만명 밀려 있어…주말까지 해소”
카드 모집인 보호 대책도 약속…“롯데카드 가족이라 생각”

조좌진 롯데카드 대표가 최근 발생한 해킹 사태와 관련해 “고객분들의 신용정보를 다루는 금융회사로서 고객정보가 유출됐다는 것 자체만으로도 엄청난 실수이자 잘못”이라며 고개 숙였다.

국회 과학기술정보방송통신위원회는 24일 KT·롯데카드 해킹 청문회를 개최했다. 이날 롯데카드 측 증인으로는 조좌진 롯데카드 대표와 최용혁 롯데카드 정보보호실장, 윤종하 MBK파트너스 부회장 등이 출석했다. 당초 김병주 MBK파트너스 회장이 출석 요청을 받았으나 불참했다.

이날 여야 의원들은 롯데카드의 정보보호 체계 자체에 대한 허술함을 문제 삼으며 잇단 질타를 이어갔다. 앞서 롯데카드는 지난 7월 금융보안원(FSI)로부터 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득한 바 있다.

ISMS-P 인증은 갈수록 지능화되고 있는 사이버 침해 위협에 효과적으로 대응할 수 있는지, 기업의 정보보호 체계와 고객의 개인정보보호 관리체계가 적합하게 운영되는지를 심사하는 공인된 인증 제도이다. 국내 최고 수준의 관리체계 인증으로 평가받는다.

조인철 더불어민주당 의원은 “101개 항목을 충족해야 하는 ISMS-P 인증을 받은 지 한 달 만에 해당 사건이 발생했다”며 “인증 절차를 제대로 이행하지 않았거나 제도 자체가 무용지물인 것 아니겠느냐”라고 지적했다.

이해민 조국혁신당 의원도 “7월에 보안 인증을 받았는데 보름 만에 이런 일이 일어날 수 있나”라며 “인증해 주는 곳에서는 무엇을 기준으로 평가한 건지, 국민이 과연 국가의 인증 믿고 안전하게 서비스를 이용할 수 있을지 의문이 드는 동시에 기업의 면죄부가 돼 주는 인증 체계를 뜯어고쳐야 된다고 생각한다”고 말했다.

이에 대해 조 대표는 “해당 제도의 판정 범위가 광범위하기 때문에 인증만으로 보안 체계의 안전성을 평가하기에는 어려움이 있다”라면서도 “다만 롯데카드 내부의 정보보호 관리 시스템이 부실했다고 보며, 이번 건에 한해 롯데카드의 책임이 더 크다고 생각한다”고 답했다.

금번 롯데카드의 해킹 사태는 지난 2017년 진행된 웹로직 프로그램 업그레이드가 요인으로 작용했다. 조 대표는 “2017년 당시 전 카드사를 바탕으로 웹 로직 자체에 업그레이드가 필요하다는 지시를 받고 업그레이드를 진행했다”며 “당시 온라인 결제 서버 내 웹 로직 48개에 대한 보강 작업을 했어야 됐는데, 1개의 프로그램이 업그레이드가 안 된 허점을 웹쉘(악성코드)가 설치된 것”이라고 설명했다.

상황이 이런 만큼 롯데카드의 이번 사고가 ‘인재(人災)’라는 비판도 제기됐다. 이해민 의원은 “1개의 프로그램이 업그레이드가 되지 않았다고 말할 게 아니다”라며 “해킹은 전체 시스템 보안 레벨에서 가장 취약한 부분을 파고들기 마련인 만큼, 다른 시스템의 보안 레벨이 올라가더라도 낮은 부분이 있으면 전체가 낮아지는 것”이라고 꼬집었다.

또 카드 재발급이 늦어지는 이유에 대해 조 대표는 “하루 24시간을 온전히 가동해서 재발급할 수 있는 캐파(Capa)가 6만장 수준”이라며 “카드 재발급이 100만명까지 밀려있는 상황으로 이번 주말까지는 대부분 해소될 것”이라고 답했다.

롯데카드가 해킹 사고에 대한 보상으로 내놓은 방안에 대해서도 여야의 질타가 이어졌다. 롯데카드는 금번 고객정보가 유출된 고객 전원에 대해 연말까지 금액과 관계없이 무이자 10개월 할부 서비스를 무료로 제공키로 했다. 또 피싱, 해킹 등의 금융사기 또는 사이버 협박에 의한 손해 발생 시 보상하는 금융피해 보상 서비스인 ‘크레딧케어’도 연말까지 무료로 제공한다. 

특히 최우선 재발급 대상이 되는 고객 28만명에게는 카드 재발급 시 차년도 연회비를 한도 없이 면제한다는 안을 내놨다. 통상 일반 카드의 경우 연회비는 2~3만원 수준으로 책정돼 있다. 롯데카드의 경우 일반 카드는 물론 프리미엄 카드의 연회비까지 포함한 것이나, 피해를 입은 고객의 정보에 비해 보상 범위가 좁다는 것이 골자다.

이에 대해 이해민 의원은 “고객들의 정보가 털린 건데 ‘고객 정보를 2~3만원 수준으로 생각한 건가’라고밖에 인지가 안 된다”며 “피해를 입으신 분들의 마음까지 면밀히 고려해 주길 바란다”고 비판했다.

이번 해킹사고에 따라 피해를 입을 카드 모집인의 보상 체계에 대한 질의도 이어졌다. 이정헌 더불어민주당 의원은 “2014년 카드 사태가 발생한 당시 롯데카드를 비롯한 3개 회사에서 1억400만건의 정보가 유출됐었고, 카드 모집인들이 심각한 피해를 입었다”고 강조했다.

이 의원은 “지난 2014년 당시 60% 가량의 보전을 약속했음에도 불구하고 실제로는 30%만 지급한 것으로 전해지고, 영업정지 6개월 시 3~6개월 가량의 수당 공백이 불가피한 상황”이라며 “이번에도 영업정지나 중징계의 가능성 높은 상황인데, 이때 카드 모집인들이 피해 받아서 생계의 직격탄을 맞을 수 있다는 우려가 지속 제기된다”고 덧붙였다.

조인철 더불어민주당 의원도 같은 문제를 짚었다. 당시 모집인들에 대한 보상 체계가 미진했다는 것이 골자다. 조 의원은 당국 제제조치가 이어질 경우 모집인들에 대한 보호 대책도 같이 강구돼야 한다고 강조했다.

이에 대해 조 대표는 “모집인들이 영업 정지를 당할 경우 활동을 못 하기 때문에 보상을 못 받는 경우를 말하시는 것 같은데, 이와 관련해 롯데카드는 과거 그런 일이 없었다”라며 “저희 입장에서도 카드 모집인 분들을 가족이라 생각하기 때문에 그 부분을 충분히 강구할 것을 약속 드린다”고 힘줘 말했다.

현재 롯데카드의 대주주 격으로 있는 MBK파트너스 역시 롯데카드의 정보보안 투자에 속도를 낼 것을 약속했다. 현재 MBK파트너스와 롯데카드는 보안과 관련해서 앞으로 5년 동안 1100억원 투자하겠다고 밝힌 바 있다.

윤종하 MBK파트너스 부회장은 “정보보호에 대해 소홀하지 않았느냐는 문제 제기에 대해 국민 여러분이 충분히 생각하실 수 있는 부분이라 본다”면서 “저희가 금융사 투자를 여러 번 한 적 있는 만큼, 금융보안은 핵심 가치라고 생각한다”고 말했다.

그러면서 “지금까지는 큰 문제가 없었기 때문에 투자 규모가 소홀하다고 생각한 적 없지만 사건이 발생했고, 이에 따라 보안 체계가 미비하다고 밝혀졌기 때문에 앞으로 그럴 일 없도록 주주로서 투자 미비하지 않도록 최선을 다하겠다”고 부연했다.

[CEO스코어데일리 / 이지원 기자 / easy910@ceoscore.co.kr]