“SKT 해킹 이어 또다시?”…967만명 회원들 ‘발 동동’

롯데카드 서버 악성코드 침투
정보유출 흔적에 금융당국 비상
6년간 해킹 피해 배상은 ‘찔끔’

롯데카드 온라인 결제 서버에서 해킹 시도와 함께 1.7기가바이트에 달하는 정보가 외부로 빠져나간 정황이 확인되면서 또 하나의 ‘대형 사고’가 발생했다.

SK텔레콤 유심 유출 사태, 예스24 랜섬웨어 해킹 사태에 이어 일어난 이번 사고는 올해 들어 발생한 또 한 번의 대규모 해킹 사고다.

고객 개인정보 유출 여부는 아직 불투명하지만, 금융당국은 2일부터 현장 조사에 착수해 사태 파악에 나섰다.

온라인 결제 서버, ‘뚫렸다’

1일 금융권에 따르면 지난달 31일, 롯데카드는 온라인 결제 서버에서 외부 해커의 침입 흔적을 발견하고 금융당국에 전자금융 침해 사고를 신고했다.

지난달 26일 서버 점검 중 일부 장비에서 악성코드가 발견됐고, 이를 삭제하는 과정에서 3대의 서버가 감염된 사실도 드러났다.

롯데카드 측은 “현재까지 고객 정보가 실제로 외부에 유출됐다는 증거는 없다”고 밝혔으나, 당국의 시각은 다르다.

금융감독원은 자료 유출 시도로 보이는 접속 기록을 토대로 최대 2기가바이트에 달하는 데이터가 빠져나갔을 가능성을 열어두고 조사 중이다.

롯데카드는 외부 보안업체에 정밀 분석을 의뢰했고, 동시에 고객 대상 안내 공지를 홈페이지와 앱을 통해 공지했다. 해당 기업은 967만 명의 회원을 보유하고 있으며, 업계 점유율 5위를 차지하고 있다.

해킹, 반복되는 경고

롯데카드의 이번 사고는 최근 벌어진 SK텔레콤 유심 정보 유출 사태에 이은 또 하나의 대형 해킹 사건이다.

금융당국은 금융보안원과 함께 2일부터 합동 조사를 시작하며 공격 경로와 정보 유출 여부를 정밀 파악하겠다고 밝혔다.

지난 6월 금융감독원 자료에 따르면 최근 6년간 국내 금융권에서는 27건의 해킹 사고가 보고됐고, 이로 인해 5만 건이 넘는 개인정보가 유출됐다. 그러나 이 가운데 70%는 배후조차 특정하지 못하고 있다.

특히, 공격 방식 중 악성코드를 통한 침입이 전체 정보 유출의 절반 이상을 차지하고 있으며, 이번 롯데카드 사고 역시 유사한 방식으로 추정된다.

보상은 미미…“보안체계 근본 개선 필요”

문제는 해킹 피해가 반복되고 있음에도, 실제 보상은 극히 제한적이라는 점이다. 지난 6년간 전체 유출 피해자 중 보상을 받은 경우는 148명에 불과했으며, 총 지급액도 2억 원이 채 되지 않았다.

금융권 관계자는 “카드사 고객 정보는 직접적인 금융사기에 연결될 수 있어 리스크가 훨씬 크다”며 “사이버 보안에 대한 근본적인 체계 개선 없이는 같은 일이 반복될 수밖에 없다”고 우려했다.

국회 정무위원회 소속 강민국 의원은 “정교해지는 공격 방식에 대응하려면 상시 감시 체계와 통합 대응 시스템이 시급하다”며 “금융당국의 즉각적이고 실질적인 보안 정책 강화가 필요하다”고 강조했다.

롯데카드는 현재 100억 원 규모의 사이버 보험에 가입돼 있다고 밝혔지만, 그것만으로는 고객의 불안을 잠재우기 어려워 보인다.