960만여 명의 고객을 보유한 롯데카드가 겪은 사이버 침해 사고의 피해 범위가 당초 보고된 것보다 훨씬 광범위한 것으로 확인되면서 업계에 충격을 주고 있다. 피해자 수가 수십만 명에서 최대 수백만 명 수준까지 확산될 수 있다는 우려가 제기되고 있다.

현재 금융 당국과 롯데카드는 침해 사고로 인한 데이터 유출 범위와 피해 고객 규모를 파악하는 최종 검증 작업을 진행 중이다. 조사가 막바지 단계에 접어든 가운데, 조좌진 롯데카드 대표이사가 이번 주 내로 직접 국민 앞에 나서 사과문을 발표하고 피해 대응책을 제시할 것으로 전해졌다.

롯데카드는 애초 금융감독원에 약 1.7기가바이트 분량의 정보가 외부로 빠져나간 것으로 신고했다. 하지만 금융 당국의 현장 조사를 통해 실제 유출 규모는 이를 크게 상회하는 것으로 밝혀졌다. 금융 당국 관계자는 "손상 정도가 초기 파악된 것보다 상당히 클 것으로 판단된다"며 "검증이 완료되면 이번 주 중 결과를 공개할 예정"이라고 밝혔다.

롯데카드 측도 "유출된 데이터양이 예상했던 수준을 넘어선다"며 "고객 정보 침해 사실이 구체적으로 확인되는 즉시 발표할 수 있도록 준비하고 있다"고 설명했다. 피해 고객 수 역시 초기 추산치인 수만 명 규모를 훨씬 뛰어넘어 백만 명 대에 달할 가능성이 거론되고 있다.

금융감독원은 강민국 국민의힘 의원실에 제출한 보고서에서 "신용카드 정보 및 온라인 결제 요청 기록이 유출된 것으로 보인다"며 개인정보 침해 가능성을 시사한 바 있다. 지난달 14일과 15일 온라인 결제 중개 서버에 대한 공격이 이뤄져 내부 파일이 탈취됐으며, 카드 관련 정보가 결제 기록에 포함됐을 개연성이 높다는 분석이다.

이번 사태에서 주목되는 점은 롯데카드가 최초 공격을 받은 후 17일이나 지난 지난달 31일 정오에야 문제를 인지했다는 사실이다. 또한 해커들이 악용한 보안 취약점은 약 10년 전 발견된 것으로, 대다수 금융회사가 이미 보안 패치를 적용한 상태였으나 롯데카드는 이를 반영하지 않아 공격에 그대로 노출됐던 것으로 전해졌다.

정부는 이번 사건을 심각하게 받아들이고 있다. 이재명 대통령은 "최근 통신업체와 금융회사에서 연이은 사이버 공격이 발생해 국민들의 우려가 크다"며 "보안 사고를 되풀이하는 기업들에 대해서는 징벌적 과징금을 비롯한 엄중한 조치가 취해지도록 신속히 대응하라"고 지시했다.

이찬진 금융감독원장도 여신전문금융업계 최고경영자 간담회에서 "단기 수익에만 매몰되어 보안을 위한 장기적 투자를 등한시한 결과는 아닌지 깊이 반성해야 한다"며 "고객 정보 보호를 위한 지출은 단순한 비용이 아니라 금융기업 생존을 위한 핵심 투자"라고 강조했다.

업계에서는 롯데카드의 최대 지분을 보유한 사모펀드 MBK파트너스의 경영 방식에 대한 비판도 제기되고 있다. MBK파트너스가 롯데카드 인수 후 수익성 개선에만 집중하느라 보안 분야에 대한 투자를 소홀히 했다는 지적이다. 실제로 롯데카드의 IT 예산 대비 보안 투자 비율은 최근 2년 사이 12%에서 8%로 축소됐으며, 자체 보안 점검도 지난 5년간 단 한 차례만 실시된 것으로 확인됐다.

조 대표는 사태 수습에 전념한다는 이유로 최근 대외 활동을 자제하고 있다. 금감원장 주재 업계 간담회와 금융소비자보호협의체 회의 등에 불참하며 사고 대응에 집중하고 있는 상황이다. 롯데카드는 금융 당국 조사가 마무리되는 즉시 카드 재발급과 같은 즉각적인 보안 조치와 함께 고객 보상 방안을 포함한 종합 대책을 발표할 예정이다.