지이코노미 강매화 기자 | 롯데카드가 최근 발생한 해킹 사고와 관련해 공식 사과문을 발표했다. 조좌진 롯데카드 대표는 4일 입장문을 통해 “대표이사로서 무거운 책임을 통감하며 머리 숙여 깊이 사과드린다”며 “이번 사태의 모든 책임은 저와 롯데카드에 있다”고 밝혔다.

이번 사고는 지난달 26일 온라인 결제 서버에서 외부 해커의 침입 흔적이 발견되면서 드러났다. 롯데카드는 즉시 전사적 비상체제를 가동하고 금융당국 및 외부 보안 전문기관과 함께 정밀조사에 착수했다. 아직 치명적인 고객정보 유출 정황은 확인되지 않았지만, 고객 불안을 최소화하기 위해 실시간 의심 거래 모니터링과 24시간 고객센터 운영에 들어갔다. 또한 해당 시기 온라인 결제를 이용한 고객에게는 선제적으로 카드를 재발급할 방침이다.

해커는 오라클 웹로직의 취약점(CVE-2017-10271)을 악용한 것으로 알려졌다. 문제는 해당 취약점이 이미 2017년에 발견돼 패치가 배포됐음에도 불구하고, 카드사의 보안 관리가 허술했던 것 아니냐는 비판이 제기된다는 점이다.

이번 사건은 금융권 전체의 보안 리스크를 다시 부각시키는 계기가 되고 있다. 2014년 롯데·KB국민·NH농협카드 개인정보 유출 사건 이후에도 은행, 증권사, 카드사를 겨냥한 해킹 시도가 끊이지 않았으며, 최근에는 SGI서울보증보험과 웰컴저축은행도 피해를 입은 바 있다.

문제는 보안 투자가 지속적으로 후순위로 밀리고 있다는 점이다. 롯데카드의 지속가능경영보고서에 따르면 전체 IT 예산에서 정보보호 투자 비중은 2021년 12%에서 2023년 8%로 감소했다. 금융권 전체적으로도 지난해 IT 예산 9조4412억원 중 정보보호 예산은 9.6%에 불과했다. 반면 미국 기업들은 평균 13.2%를 보안에 투자하는 것으로 조사됐다.

조 대표는 “혹시라도 피해가 발생한다면 롯데카드가 전액 보상하겠다”며 “이번 사태를 계기로 회사가 근본적인 변화를 이끌어 내겠다”고 강조했다.