금융당국 '일벌백계' 원칙 아래 롯데카드 제재 및 제도 개선 착수
롯데카드에서 약 297만명에 달하는 고객의 개인신용정보가 유출되는 사태가 발생했다. 특히 이 중 28만명은 카드 결제에 필수적인 비밀번호와 CVC 정보까지 유출된 것으로 확인됐다. 이에 금융당국은 롯데카드를 엄정 제재하는 한편, 제도 개선에 착수한다는 방침이다.
금융위원회는 18일 권대영 부위원장 주재로 금융감독원, 금융보안원, 조좌진 롯데카드 대표 등이 참석한 가운데 '롯데카드 정보유출 관련 긴급 대책회의'를 개최했다.
롯데카드는 지난 9월 1일, 해킹 침해사고로 약 1.7GB 규모의 정보가 유출됐다고 금융당국에 최초 신고했다. 그러나 금감원과 금융보안원의 현장조사 과정에서 당초 신고된 규모의 100배가 넘는 총 200GB의 정보가 유출된 사실이 추가로 드러났다.
조사 결과, 미상의 해커는 롯데카드의 '온라인 결제 서버(WAS)'에 침입해 악성 프로그램인 '웹쉘(Web Shell)'을 설치했으며, 이를 통해 8월 14일부터 27일까지 정보를 빼내 간 것으로 파악됐다.
유출된 200GB의 정보에는 총 296만9천명의 개인신용정보가 포함됐다. 이 중 28만3천명(9.5%)은 카드비밀번호와 CVC 정보까지 유출된 것으로 확인됐다.
금융당국은 이번 사태의 심각성을 감안해 소비자 보호에 총력을 기울이는 한편, 롯데카드에 대해서는 강도 높은 책임을 묻겠다는 방침이다.
금융당국은 롯데카드의 웹서버 관리, 악성코드 감염 방지 등 정보보안 관리 전반의 위규사항을 낱낱이 파악해 최대 수준의 제재를 가할 예정이다.
권대영 금융위 부위원장은 "금융보안은 금융의 신뢰성을 흔들 수 있는 중대한 문제"라며, "전 금융회사 CEO는 '보안'을 가장 핵심적인 책무라는 확고한 인식을 갖고 전산 시스템 전반을 재점검해야 한다"고 주문했다.
금융당국은 이번 사태를 계기로 금융권 전반의 보안 관리 체계를 근본적으로 강화하기 위한 제도 개선에도 착수한다.
먼저 금융사 책임을 강화한다. 중대한 보안사고 발생 시 일반적 수준을 뛰어넘는 '징벌적 과징금'을 도입하고, 보안수준 개선요구 미이행 시 '이행강제금'을 부과한다.
자체 보안역량도 강화한다. 금융사 정보보호최고책임자(CISO)의 자료요구권 부여 등 권한을 강화하고, 보안 관련 주요 사항은 이사회 심의·의결을 의무화한다.
소비자가 금융사별 보안 수준을 비교할 수 있도록 보안 예산·인력, 사고 발생 현황 등의 공시도 강화한다는 방침이다.
한편, 롯데카드는 정보유출로 인한 부정사용 피해 발생 시 전액 선보상한다는 방침이다. 또한, 콜센터 인력을 보강하고 비밀번호 변경, 해외결제 차단, 카드 재발급 등을 지원하기로 했다.
특히 롯데카드 고객은 롯데카드 앱, 홈페이지 또는 고객센터를 통해 개인정보 유출 여부를 직접 확인할 수 있다. 롯데카드 측은 재발급 등을 위한 URL 링크를 문자 메시지로 발송하지 않으므로, 출처가 불분명한 URL 클릭에 각별한 주의가 필요하다고 당부했다.
