금융당국이 297만 명의 개인정보가 유출된 롯데카드에 대해 최고 수준의 엄중한 처벌을 단행하기로 결정했다. 더불어 향후 심각한 보안사고 발생 시 기존 과징금 범위를 초과하는 징벌적 과징금 제도 신설과 당국의 보안 강화 요구를 이행하지 않을 경우 계속적인 이행강제금을 부과하는 방안도 추진한다고 밝혔다.

금융위원회는 18일 권대영 부위원장 주재로 롯데카드 해킹 관련 비상 대책 회의를 개최하고 이같은 방침을 발표했다. 이번 회의에는 금융감독원, 금융보안원, 여신금융협회, 민간 전문가 등이 참석했으며, 조좌진 롯데카드 대표도 함께했다.

당국의 조사 결과에 따르면, 해커는 2017년 서버 보안 강화 작업 과정에서 패치가 누락된 부분을 공격 경로로 활용했다. 지난 8월 14일부터 27일까지 웹쉘(악성 프로그램)을 통해 총 200기가바이트의 데이터를 빼낸 것으로 확인됐다. 이는 롯데카드가 당초 신고한 1.7기가바이트보다 100배 이상 많은 규모다.

특히 이번 사태는 롯데카드의 미흡한 초기 대응과 관리 소홀이 복합적으로 작용한 결과로 분석된다. 회사 측은 8월 26일에야 악성코드 감염 사실을 인지했으며, 자체 점검 과정에서도 실제 피해 규모를 정확히 파악하지 못했다.

유출된 정보에는 297만 명의 개인신용정보가 포함됐으며, 이 중 28만 3천여 명의 카드 비밀번호와 CVC가 암호화되지 않은 상태로 노출되었다. 이는 2014년 대규모 개인정보 유출 사태 때보다 더욱 심각한 상황으로 평가된다.

현행 여신전문금융업법 시행령에 의하면 신용카드사는 개인정보 관리 부실 시 최대 6개월간 영업 중단 조치를 받을 수 있다. 2014년 당시 롯데카드는 3개월 영업정지 처분을 받았으나, 이번에는 더욱 강력한 제재가 예상된다는 것이 업계의 전망이다.

나이스신용평가는 롯데카드가 270억원에서 최대 800억원의 과징금을 부과받을 가능성이 있다고 분석했다. 이는 지난해 동사 당기순이익의 20-60%에 해당하는 금액이다.

SGI서울보증, 웰컴금융그룹 등에서 연속적으로 발생한 사이버 공격 사고와 함께 이번 사건으로 금융권 전체의 보안 체계 재점검이 시급해졌다. 당국은 모든 카드사를 대상으로 한 보안 실태 점검에 즉시 착수하며, 위반 사항 적발 시 즉각 제재하겠다고 밝혔다.

금융회사 보안 관리 시스템의 근본적 개선을 위한 제도 정비도 신속히 진행된다. 보안 위반행위에 대한 금융기관들의 사전 경각심 제고와 사후 일벌백계 차원에서 중대한 보안사고 시 통상적인 과징금 수준을 넘어서는 징벌적 과징금을 도입한다. 정부의 보안 개선 지시를 적절히 이행하지 않는 금융회사들에게는 지속적인 이행강제금도 부과할 예정이다.

또한 정보보호최고책임자(CISO)가 능동적으로 보안 강화를 추진할 수 있도록 권한을 확대하고, 고객들이 금융회사별 보안 수준을 비교 검토할 수 있도록 관련 공시 제도도 확대하기로 했다.

전문가들은 현재 금융권과 비금융 영역으로 분산된 사이버보안 대응 체계의 통합 필요성을 지적하고 있다. 금융사의 해킹 사건은 금융위가 담당하고 일반 기업의 보안사고는 과학기술정보통신부가 관할하는 이원화 구조로 인해 정보 공유와 신속한 대응에 한계가 있다는 것이다.

이재명 대통령은 이날 수석보좌관회의에서 "보안 없이는 디지털 강국도, 인공지능 강국도 사상누각"이라며 "해킹 피해 최소화를 위한 근본적 종합대책을 서둘러 마련하라"고 지시했다.

올해 들어 SK텔레콤 유심 해킹, 예스24·SGI서울보증 랜섬웨어 감염, KT 소액결제 피해 등 국민 생활과 직결된 해킹 사고가 급증하고 있는 상황에서 정부의 강력한 대응책이 주목받고 있다.