해킹 사태로 인해 위기에 봉착한 롯데카드의 조좌진 대표이사가 18일 대국민 사과에 나섰다. 조 대표는 피해 전액 보상과 전사적 쇄신을 약속하며, 연말까지 대표이사를 포함한 대대적인 인적 쇄신을 단행하겠다고 밝혔다. 이번 사태를 계기로 단기 수익성 위주의 경영에서 벗어나 장기 투자 확대와 내부통제 체계 전반의 재편이 이어질지 관심이 쏠린다.
조 대표는 이날 서울 중구 부영태평빌딩에서 열린 언론 브리핑에 참석해 “이번 사태를 단순한 해킹 사건이 아닌 경영 전반의 메커니즘을 근본부터 혁신하는 계기로 삼겠다”며 “저를 포함해 시장이 납득할 만한 수준의 인적 쇄신을 하겠다고 약속드린다”고 말했다. 조 대표 자신의 사임을 비롯해 인적쇄신을 강조한 이번 발표는 지난 4일 나온 사과문 이후 2주 만에 나온 두 번째 공식 입장이다.
조 대표는 “이번 침해사고로 발생한 피해는 롯데카드가 전액 보상하겠다”며 “고객정보 유출로 인한 2차 피해도 인과관계가 확인되면 책임지고 보상할 것”이라고 했다.
롯데카드는 금융감독원과 금융보안원의 현장 검사 과정에서 추가로 200GB 분량의 데이터 반출 정황이 드러났다고 밝혔다. 당초 이달 1일 해킹 사고를 금융당국에 신고할 당시에는 유출 규모를 약 1.7GB로 추산했으나, 실제 유출 정보는 초기 보고치의 100배에 육박한 셈이다. 이에 대해 롯데카드 측은 “1.7GB의 데이터가 나간 정황은 확인했지만, 해커가 압축 파일을 교묘하게 지워 어떤 정보가 빠져나갔는지 즉시 확인하기 어려웠다”고 해명했다.
지난 17일에는 특정 고객의 일부 정보 유출도 최종 확인됐다. 유출 규모는 총 297만명에 달하며, 이 중 약 28만명은 카드번호, 유효기간, CVC(카드 뒷면 3자리 숫자) 등 결제 필수정보가 빠져나간 것으로 파악됐다. 비밀번호와 CVC가 함께 유출되면 해외 결제 등 신용카드 부정사용으로 이어질 수 있어 파장이 크다.
다만 회사 측은 “카드 번호를 직접 입력해 결제하는 ‘키인(KEY IN)’ 거래를 제외하면 유출된 정보로는 부정사용이 어렵다”며 “통상적으로 키인 거래는 실물 카드가 있는 상태에서 이뤄지기 때문에 유출된 정보만으로는 카드 복제가 불가능해 부정사용 가능성은 사실상 없다”고 선을 그었다. 이어 “오프라인 결제나 카드론, 현금서비스 등에도 영향은 없다”고 덧붙였다. 330만 가맹점 중 약 0.15% 정도에서 키인 결제가 이뤄지고 있다.
롯데카드는 이번에 정보가 유출된 고객 전원에게 연말까지 무이자 10개월 할부를 제공하고, 금융사기 피해 보상 서비스인 ‘크레딧케어’와 카드사용 내역을 실시간 확인할 수 있는 알림서비스를 무료로 운영한다. 특히 부정사용 가능성이 큰 28만명에게는 재발급과 함께 내년도 연회비를 전액 면제하기로 했다. 평균 연회비를 2만원으로 가정할 경우 연간 약 56억원의 비용이 발생할 전망이다.
“정보보호 투자 업계 최고 수준으로 강화”
롯데카드는 조직 쇄신과 더불어 정보보안 강화 대책도 함께 내놨다. 조좌진 대표는 “기능 중심의 조직을 고객가치·고객보호 중심으로 전환하고, 전사 IT 인프라도 정보보호 중심으로 전면 개편하겠다”고 밝혔다.
그는 “현재 대부분의 카드사들이 회원 유치나 가맹점 프로모션 등 활동 위주로 조직이 짜여 있어 고객 중심 사고가 약할 수밖에 없다”며 “고객 중심 조직으로 재편해 편의와 정보 보호를 강화하겠다”고 말했다. 또 “충분한 투자와 인력 보강, 직원들이 역량을 발휘할 수 있는 조직 문화를 통해 3년 안에 금융권 최고의 정보보호 회사로 만들겠다”고도 했다.
롯데카드는 앞으로 5년간 1100억원을 정보보호에 투자해 IT 예산 대비 보안 예산 비중을 업계 최고 수준인 15%까지 끌어올린다는 방침이다. 매년 220억~230억원을 추가 투입하는 셈으로, 현재 연간 예산 125억원의 두 배 가까운 수준이다. 금융권 평균 보안 예산 비중이 약 7%인 점을 고려하면 공격적인 투자다.
일각에서는 이번 사태가 올해 국정감사에서 도마 위에 오를 가능성이 크다고 본다. 카드사는 방대한 고객 거래 데이터를 보유한 만큼 보안은 핵심 과제로 꼽힌다. 특히 업계에서는 롯데카드가 첫 해킹 공격을 인지한 시점이 늦었던 점 등을 들어 보안에 치명적 결함이 있었다는 지적도 나온다. 조 대표는 “모의 침투 테스트, 스미싱 메일 테스트 등 나름대로 노력을 기울였지만 이번 사태를 막기에는 부족했다”며 “이 부분에 대한 가장 큰 책임은 CEO인 제 자신에게 있다”고 고개를 숙였다.
