경제 금융시장

롯데카드 해킹 사고…‘주요 서버’ 뚫려, 금융당국 '긴장'

2025-09-03 13:00:04 게재

17일간 해킹 인지 못해 … 내부통제 부실 도마 위에

당국 ‘대응강화’ 2주 만에 … 대주주 MBK 책임론도

이찬진 “피해액 전액 보상” … 롯데카드 “부정사용, 선보상”

롯데카드가 해킹 공격으로 주요 서버들이 뚫린 것으로 알려지면서 금융당국이 긴장하고 있다. 고객 정보 유출 가능성이 커서 2차 피해로 이어질 수 있다는 우려가 나오고 있다.

금융감독원과 금융보안원은 2일 현장검사에 착수해 고객정보 유출 여부 등을 확인하고 있다. 금융당국은 롯데카드의 고객 데이터베이스(DB)를 관리하는 부분과 서버를 집중 관리하는 계정 등이 해킹된 것으로 파악하고 있다.

보안업계 관계자는 “고객의 개인정보가 유출됐을 가능성이 높아 상당히 우려되는 상황”이라고 말했다.

금감원이 파악해 강민국 국민의힘 의원실에 보고한 자료에 따르면 해킹에 따른 내부파일 유출은 지난달 14일 오후 7시경이며, 유출 시도는 16일까지 계속됐다. 14일과 15일 각 1차례씩 2회, 온라인결제 서버 해킹을 통해 내부파일이 외부로 반출됐다. 16일에는 반출에 실패했다.

금감원은 “반출된 파일에 포함돼 있는 정보의 구체적 내용은 파악 중이지만 반출 실패한 파일을 바탕으로 추정할 때 ‘카드 정보 등 온라인 결제 요청 내역’ 이 포함된 것으로 보인다”고 답했다.

롯데카드는 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 사실을 확인했고, 지난달 31일 온라인 결제 서버에서 1.7기가바이트(GB) 정도의 데이터가 유출된 흔적을 확인했다. 이달 1일 금융당국에 사고 신고를 했지만 개인정보 유출 여부는 확인하지 못했다.

해커들이 흔적을 지운 것으로 알려지면서 당국은 해킹 시점에 서버에서 정보가 오고 간 트래픽 규모를 확인하고 있는 것으로 알려졌다. 트래픽 규모가 평소보다 클 경우 정보유출량을 가늠해볼 수 있다. 이번 해킹사고와 관련해 국정원에서도 조사에 참여한 것으로 알려졌다.

이찬진 금감원장은 2일 임원회의에서 “금감원 내 비상대응체계를 가동해 유기적으로 대응하고 현장검사를 통해 사고 원인 및 피해 규모 등을 철저히 점검하는 한편, 필요시 소비자 유의사항 전파 등 소비자경보를 발령하라”고 지시했다.

이 원장은 또 “혹시 모를 부정사용 발생시 피해액 전액을 보상하는 절차를 마련해 금융소비자의 피해가 없도록 조치하라”며 “관리소홀로 인한 금융보안 사고에 대해서는 엄정하게 제재할 것”이라고 강조했다.

금융회사 경영진에 대해서는 CEO 책임하에 소비자보호 관점에서 자체 금융보안 관리체계를 전면 재점검할 것을 당부했다.

이번 사고는 지난 7월말 금융당국이 SGI서울보증 랜섬웨어 사고를 계기로 점검회의를 개최하고 ‘침해사고 대비태세 강화’를 주문한 지 2주 만에 터진 것이다.

특히 롯데카드는 내부파일 유출이 발생하고 17일이 지나서야 해킹 사고를 인지했다는 점에서 내부통제 부실이 도마 위에 올랐다.

금융권 관계자는 “대주주인 MBK파트너스가 수익 극대화에 치중하고 롯데카드 매각에 집중하면서 내부통제가 부실해진 것 아니냐는 말들이 많다”며 “단기 수익성 압박에 따라 상대적으로 보안시스템(SI) 투자에 소홀했을 수도 있다”고 말했다.

롯데카드는 홈플러스 사태와 관련해 검찰의 압수수색을 받기도 했다. MBK파트너스가 신용등급 하락을 알고도 대규모 자산유동화 전자단기사채(ABSTB)를 발행해 투자자들에게 손실을 끼친 혐의와 관련해서다.

한편 롯데카드는 2년 전에도 내부통제 부실로 금융사고가 발생한바 있다. 금감원은 2023년 협력업체 대표와 공모해 카드사가 부실한 제휴계약을 체결하도록 하고, 카드사로부터 105억원을 취득한 롯데카드 직원 2명을 업무상배임 혐의로 검찰에 고발했다.

금감원은 “관련부서의 내부통제기능이 제대로 작동하지 않았다”며 내부통제 실패에 책임이 있는 임직원을 엄정 조치하도록 지도했다. 또 내부통제체계 전반을 점검하고 취약점에 대한 개선대책을 수립해 시행하도록 조치했다.

3일 롯데카드는 이번 사고와 관련해 침해사고로 인한 부정사용 발생시 선보상을 하고, 강화된 고객보호 조치를 시행한다고 밝혔다. 침해사고 전용 상담을 24시간 운영하고 비밀번호 변경과 카드 재발급·탈회 상담을 오후 10시까지 연장하기로 했다. 앱과 홈페이지를 통해 비밀번호 변경, 해외 거래 차단, 카드 재발급을 손쉽게 할 수 있도록 조치했다. 롯데카드 관계자는 “이상금융거래 모니터링을 강화하고 소비자 피해를 예방하기 위해 모든 역량을 집중하겠다”고 말했다.

이경기 기자 cellin@naeil.com

이경기 기자 기사 더보기