"297만 명 털린 롯데카드"...해킹에 개인 결제 정보까지 유출
<출처:롯데카드>
사건 개요
롯데카드가 해킹을 당해 고객 297만 명의 개인정보가 유출됐습니다. 특히 28만 명은 카드 번호·유효기간·CVC·비밀번호 일부 등 결제 핵심 정보까지 털렸습니다. 해외 온라인 가맹점은 추가 인증 없이도 이런 정보로 결제가 가능하다는 점에서, 피해자는 불안에 떨 수밖에 없습니다.
롯데카드는 기자회견을 열고 “전액 보상”을 약속했지만, 이는 사태의 본질을 가리기에 역부족입니다.
안일한 초기 대응, 더 큰 불신 초래
롯데카드는 지난달 31일 데이터 반출 흔적을 발견하고도 “주요 정보 유출은 없다”고 발표했습니다. 그러나 금융 당국 검사에서 200GB 규모 대량 유출 사실이 드러났습니다. 고객을 안심시키려던 ‘과소 발표’가 오히려 투명성 결여와 은폐 의혹으로 이어지며 신뢰를 무너뜨렸습니다.
피해는 고객, 대주는 사모펀드
롯데카드의 대주주는 사모펀드 MBK파트너스입니다. 단기 수익에 치중하는 구조 속에서 보안 투자와 시스템 강화가 뒷전이 된 것은 아닌지 의문이 제기됩니다. 결국 투자자의 이익 극대화 → 고객 피해 전가라는 구조적 문제를 드러낸 사건입니다.
해킹이 아닌 관리 부실
이번 사건은 단순히 해커의 치밀한 공격 때문만은 아닙니다.
- 보안 모니터링 부재: 1.7GB 흔적 발견 후 제대로 추적·차단하지 못함.
- 내부 통제 실패: 카드 정보 관리 체계가 외부 침투에 취약.
- 위기 대응 매뉴얼 미흡: 당국보다 늦은 사실 인지와 축소 발표.
이는 명백히 보안 관리 소홀의 결과입니다.
카드사들의 ‘보상 프레임’
“피해액 전액 보상”이라는 약속은 당연한 일입니다. 그러나 이는 피해자에게 돌아갈 정당한 권리일 뿐, 카드사가 신뢰를 회복할 ‘성의 표시’로 포장할 수는 없습니다. 진짜 문제는 내 개인정보가 유출돼 평생 위험에 노출될 수 있다는 사실입니다. 돈으로만 보상할 수 없는 영역입니다.
금융당국의 경고, 실효성은?
금융위원회는 이번 사건을 계기로 징벌적 과징금 제도 도입을 예고했습니다. 그러나 매번 사고가 터질 때마다 “강력 제재”를 말하면서도, 실제 제도 개선과 기업 책임 강화는 더디게 진행돼 왔습니다. 보안 관리 의무 강화와 상시 점검 시스템 없이는 제재도 보여주기식에 그칠 수 있습니다.
필요한 대안
- 징벌적 배상제도 도입: 피해 고객이 소송 없이도 실질적 배상을 받을 수 있도록 법적 장치 마련.
- 보안 투자 의무화: 카드사 보안 예산을 최소 비율로 책정·공시하게 해 투자자 압박.
- 투명성 강화: 사고 발생 시 24시간 내 공지 의무와 당국 보고를 법제화.
- 정보 유출 평생 모니터링 서비스 제공: 단기 보상에 그치지 않고, 장기적 신용 모니터링을 무료 제공해야 함.
맺음말
297만 명의 개인정보가 털린 이번 사건은 단순한 사고가 아니라, 한국 금융 보안 체계의 총체적 부실을 드러낸 경고입니다. 보상으로만 사건을 덮을 수는 없습니다. 카드사와 금융당국이 책임 있는 자세로 제도를 혁신하지 않는다면, “다음은 어느 카드사 차례인가”라는 국민의 불안은 멈추지 않을 것입니다.