[단독]롯카 ‘보안패치 최신의무’ 어기고 IT감사선 ‘셀프합격점’

[이데일리 김나경 김국배 기자] 297만명 회원의 민감정보가 유출된 롯데카드 해킹 사고는 자체적으로 마련한 규정·지침마저 지키지 않아 발생한 예견된 인재(人災)였다. 이번 해킹 사고의 발단이었던 보안패치와 관련 롯데카드는 ‘보안패치 최신화를 통한 보안사고 예방 의무’를 내규에 규정하고 있지만 8년째 지키지 않았다. 금융당국이 위규에 대한 최고 수준의 엄정 처벌을 예고한 가운데 징벌적 과징금 부과 가능성이 큰 이유다. 최근 5년간 실시한 IT 감사는 지난해에만 IT 보안 부문 감사를 시행한 데다 그마저 ‘셀프 합격점’을 줘 내부통제 실패라는 지적이 나온다.

[이데일리 이미나 기자]

2017년 안내받은 보안 취약점 방치, 자체 규정·지침 위반

21일 금융감독원이 국회 정무위원회 강준현 의원실에 제출한 자료를 이데일리가 입수해 분석한 결과 이번 297만명 회원 정보 유출과 관련 롯데카드는 스스로 마련한 규정과 지침마저 지키지 않은 것으로 나타났다. 이번 해킹의 발단이 됐던 보안패치와 관련 롯데카드는 보안사고대응지침을 통해 “정보보호 주관부서는 보안위협 정보의 식별과 보안패치의 최신화 등을 포함한 보안사고 예방 활동을 수행해야 한다”고 명시하고 있다.

하지만 롯데카드는 웹 서버 관리에 사용 중이었던 보안패치의 취약점을 발견했음에도 최신 업데이트를 하지 않았다. 롯데카드가 사용 중인 웹 서버 관리 프로그램은 미국 오라클의 ‘웹로직’으로 2017년 보안 취약점이 발견돼 오라클에서 보안 업데이트를 긴급 발표했다. 실제 조좌진 대표는 지난 18일 기자회견에서 “패치를 업데이트해서 보강하라는 안내가 2017년 내려왔다”며 “여러 서버에서 48개의 패치를 업데이트를 했어야 했는데 1개를 놓쳤다. 그 작은 부분을 놓친 것은 분명히 인재라고 생각한다”고 시인했다. 조 대표가 “해당 패치와 연결된 페이(pay)업체가 해외의 작은 회사라서 계속 거래가 없었기 때문에 업그레이드가 필요한지, 뭘 어떻게 해야 하는지 파악할 수 없었다”고 해명했지만 ‘보안패치 최신화’를 명시한 자체 지침을 위반한 것이다. 지난 2023년 중국 해커조직으로 추정되는 ‘샤오치잉’이라는 단체가 이 취약점을 써 한국 웹사이트를 공격한 적도 있지만 롯데카드는 미흡한 대응으로 불씨를 남겼다.

롯데카드의 다른 내규 위반 가능성도 크다. 롯데카드의 정보보호규정은 연 1회 이상 보안 침해사고에 대비한 비상대응훈련을 시행해 보안사고 대응체계를 개선하도록 하고 있다. 또한 정보보호 주관부서는 회사의 정보자산에 발생할 수 있는 보안사고와 관련 예방과 신속한 복구를 위해 대응절차를 수립해야 한다. 하지만 롯데카드는 200기가바이트(GB)나 되는 개인신용정보가 빠져나가는 지난 8월 14일부터 27일까지 유출 사실을 파악하지 못했다. 롯데카드가 외부 공격자의 정보 유출 시도를 최초 발견했던 시점은 지난 8월 31일이다. 9월 1일 금융당국 등에 침해 사실을 신고한 후에도 보름 넘게 홈페이지에 “정보 유출은 없다”는 공지를 띄워놓기도 했다.

[이데일리 이미나 기자]

이번 사고가 롯데카드의 보안사고대응지침상 가장 높은 단계인 ‘심각’에 해당하는 개인정보 사고임에도 유출 사실조차 뒤늦게 인지한 것이다. 유출 사실을 발견하지 못해 보안사고대응지침에 따른 초동 대응조차 줄줄이 늦어졌다. 보안 전문가는 “200GB라는 대량의 데이터 전송이 일어나는데 몰랐다는 것은 모니터링·통제가 부실하다는 방증”이라고 말했다.

실제 롯데카드는 자체 감사에서 IT보안에 ‘셀프 합격점’을 줬다. 롯데카드는 지난 2021년부터 2025년까지의 IT 자체 감사 중 지난해에만 보안 부문 감사를 시행했다. IT운영위원회 적정성, 외부주문 관리, 전산원장 변경통제 등을 점검한 결과 스스로 ‘적정하다’고 평가했다. 2022년, 2023년에도 IT 서비스·시스템 등을 자체 감사한 결과 ‘적정하다’고 판단했다. 같은 기간 다른 카드사가 개인신용정보시스템 접근통제, 정보보호 취약점 분석·평가, 개인정보 유출방지 대책, 전자금융사고 보고·이행체계 등을 점검한 것과 비교하면 IT보안 내부통제가 부실했던 것이다.

정치권·당국 ‘MBK 책임론’…800억+α 최고수준 제재

정치권과 당국에서는 롯데카드가 사모투자펀드(PEF) 운용사인 MBK파트너스에 인수된 후 수익 극대화에 치중하며 보안 투자에 소홀했다고 비판한다. 강준현 의원은 “이번 대형 해킹 사태는 수익성에만 눈이 먼 MBK파트너스가 롯데카드 인수 후 6년 동안 정보보호 투자 비중을 야금야금 줄여온 탓으로 밖에는 보이지 않는다”며 “다른 회사에 비해 현격히 소홀한 IT·보안 투자 때문에 홈플러스 사태에 이어 금융사에도 피해가 뻗친 것이다”고 말했다.

내규 위반 정황이 분명한 만큼 금융당국이 롯데카드에 최대 800억원대 과징금을 부과할 수 있다. 롯데카드처럼 해킹 등으로 개인신용정보를 유출하면 신용정보법상 과징금 한도는 50억원으로 상한선이 정해져 있지만 개인정보보호법에선 전체 매출(지난해 롯데카드 매출 2조 7000억원)의 최대 3%까지 과징금을 물릴 수 있다. 지난 4월 고객 2300만명의 개인정보 유출로 논란이 된 SK텔레콤은 개인정보보호법 위반으로 매출의 1% 수준인 1300억원대 과징금을 부과받았다.

금융당국은 롯데카드 해킹 사고를 계기로 금융사에 중대한 보안 사고가 발생하면 ‘징벌적 과징금’을 부과하는 방안을 도입하겠다고 밝힌 상태다. 정부가 보안 시스템 개선을 요구했는데 제대로 이행하지 않는 금융사에는 ‘이행 강제금’도 부과하기로 했다.