롯데카드 해킹 쇼크에 카드업계 ‘초비상’, 인력·투자 부족 ‘고질병’ 언제까지?

해킹 가능성에 업계 경각심 고조
인증 기관 및 제도 실효성엔 의문
투자 미흡·인력 부재→문제 심화

970만 명의 회원을 보유한 롯데카드가 해킹 공격 피해를 입었다는 사실이 알려지며 카드 소비자들의 불안이 날로 커지는 모습이다. 특히 롯데카드는 금융보안원으로부터 최고 수준의 관리체계 인증을 획득한 지 불과 한 달도 지나지 않아 이번 사고를 겪은 것으로 알려져 충격을 더했다. 여타 카드사들은 앞다퉈 보안 시스템을 강화하고 나섰지만, 인력 및 투자 부족 등 고질적인 문제는 해소되지 않는 양상이다.

‘연쇄 해킹 사태’ 막기 총력전

16일 업계에 따르면 신한카드는 최근 단말·서버 보안솔루션에 대한 운영 모니터링과 침입차단 및 침입방지 시스템 운영을 강화하고, 금융보안원의 감독 아래 악성코드 점검을 진행했다. 이와 함께 CVE 취약점에 대한 서버 재점검도 병행했다. CVE(Common Vulnerabilities and Exposures)는 소프트웨어나 하드웨어의 보안 취약점을 표준화된 식별자(CVE ID)로 관리하는 체계를 말한다.

하나카드 역시 보안 사고 관련 긴급 자체 점검을 수행했으며, 이전부터 운영해 온 보안관제 모니터링을 더욱 강화하고 나섰다. 나아가 하나카드는 Zero Trust(아무것도 신뢰하지 않는다) 보안 원칙의 인증 강화, 보안 취약점 탐색 고도화, 지문을 비롯한 생체인식 기반의 사내 시스템 인증 방식 개편 등 보안 투자 계획을 수립·검토 중이다.

이처럼 카드사들이 각사별 보안 시스템을 재정비하고 기능을 강화하는 데 전사 역량을 집중시킨 데는 최근 롯데카드사에서 발생한 해킹 사고가 발단이 됐다. 일반적으로 신용카드 이용자들은 혜택을 위해 용도에 따라 다양한 카드를 함께 쓰는 경우가 많아 여타 카드사에 연쇄 해킹이 일어날 수도 있단 우려에서다.

앞서 롯데카드는 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 것을 확인하고, 전체 서버를 점검하는 과정에서 3개 서버에서 악성코드를 발생해 삭제 조치했다. 이후 지난 달 31일 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도한 흔적을 발견해 지난 1일 금융당국에 신고했다. 현재까지 롯데카드 조사 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다.

해킹 사고로 촉발된 회원 불안을 잠재우기 위해 롯데카드는 전사적 비상 대응 체계를 가동, 전담 상담센터를 새로 마련했다고 이달 3일 밝혔다. 조좌진 대표이사 역시 “보안 관리 미흡으로 고객 불편을 초래한 점 깊이 사과드린다”면서 “현재 관계 기관 및 외부 전문조사 회사와 함께 보다 상세한 피해 내용 파악에 최선을 다하고 있으며, 이번 사고로 발생한 피해는 전액 롯데카드가 책임지고 보상하겠다”고 약속했다.

이번 사고로 롯데카드가 추진해 온 매각에도 난항이 예상된다. 롯데카드의 최대 주주인 MBK파트너스는 카드사 지분 인수 이후 지난 2022년 첫 매각을 시도했으나, 무산된 바 있다. 이 때문에 롯데카드는 매물로서의 가치를 높이기 위해 외형 성장에 주력해 왔다. 실제로 올 상반기 말 기준 롯데카드의 회원 수는 967만 명으로 6개월 사이 10만 명가량 늘기도 했다. 그러나 최근 발생한 해킹 사고로 이러한 노력마저 무색하게 됐다. 올 상반기 재추진된 매각에서는 당초 3조원대였던 매각가를 2조원대로 낮췄지만, 예비입찰에 참여한 곳은 단 한 곳도 없었다.

보안 인증의 허상, 신뢰 무너진 관리체계

롯데카드는 해킹사고는 금보원으로부터 정보보호 및 개인정보보호 관리체계인 ‘ISMS-P’ 인증을 획득한지 불과 한 달도 지나지 않아 발생했다는 점에서 소비자들의 우려를 키웠다. 지난달 12일 롯데카드는 ISMS-P 인증 획득 소식을 알리며 금보원 여의도 사무소에서 인증 수여식을 가졌다.

ISMS-P 인증은 갈수록 지능화되는 사이버 침해 위협에 효과적으로 대응할 수 있는지, 기업의 정보보호 체계와 고객의 개인정보보호 관리체계가 적합하게 운영되는지를 심사하는 공인된 인증 제도로, 국내 최고 수준의 관리체계 인증으로 평가받는다. 롯데카드는 인증 취득에 필요한 평가 기준인 관리체계 수립 및 운영과 보호대책 요구사항, 개인정보 처리단계별 요구사항 총 3개의 영역에서 101개 인증 기준에 대한 심사를 받고 해당 인증을 획득했다.

이 외에도 롯데카드는 지난 2008년 국제표준 ISO27001 인증을 최초 취득한 이후 2017년엔 국제 브랜드사 공동 데이터 보안 표준인 PCIDSS 인증을 취득하는 등 보안 역량 강화와 유지를 위해 지속적으로 노력해 왔다. 그러나 이런 노력이 모두 무위가 되면서 소비자들의 불안은 최고조에 달한 상황이다. 카드는 일상 속 필수 결제수단으로 개개인의 신상정보와 생활패턴 등이 긴밀히 담겨 있는 만큼 연쇄 해킹 사고 발생 시 피해는 걷잡을 수 없다는 게 소비자들의 일관된 시각이다.

인력 부족이 만든 취약성

보안 업계에서도 국내 금융권의 보안이 국제적 흐름에 미치지 못한다고 입을 모았다. 금융감독원이 집계한 2022년 9월 기준 IT 인력 현황에 의하면, 국내 8개 전업 카드사의 정보보호 인력은 총 222명에 불과하다. 이는 임원급 6.5명에 직원 215.5명을 합한 수치로, 개별 카드사로 보면 평균 20~30명 남짓이다. 카드사 별로는 △현대카드 46명 △신한카드 35명 △삼성카드 34명 △KB국민카드 31명 △비씨카드 30명 △우리카드 14명 △롯데카드 20명 △하나카드 12명 수준이다.

한 카드사 관계자는 이 같은 조사 결과를 두고 “3년 전의 데이터인 만큼 그간 디지털 금융 확대 추진에 따라 보안인력도 상당히 늘어났다”는 반론을 내놨다. 그러나 최근 몇 년간의 카드업계 업황 악화에 따른 긴축기조·슬림화를 고려할 때, 보안인력 역시 크게 늘어나지 않았을 가능성이 크다. 실제로 금감원의 집계에서 지난해 말 기준 국내 8개 전업카드사 정규직원 합계는 1만867명으로 2018년(1만654명)에 비해 200여 명이 늘어나는 데 그쳤다.

인력 부족에 더해 보안 예산 비중도 해마다 줄어드는 추세다. 롯데카드의 지속가능경영보고서에 기재된 IT 예산 중 정보보호 투자 비율은 △2021년 12% △2022년 10% △2023년 8%로 해마다 줄었다. 신한카드 역시 2022년 10.8%에서 2024년 8.2%로 감소했다. 이는 글로벌 금융기관의 평균 투자 수준과 비교해도 현저히 낮은 수준으로 영국 은행권은 IT 예산의 약 11%를, 글로벌 기업 전체 평균은 약 13%를 보안에 투입한다.

고동원 성균관대 교수는 ‘금융보안 정책의 국제 비교 및 대응 방안’ 연구에서 “비대면 금융거래가 많아지면서 금융 전산망 보안이 갈수록 중요해지고 있다”고 진단하며 “국제적인 추세에 뒤떨어지지 않도록 규제 체계를 정립해야 한다”고 지적했다. 그러면서 “미국을 비롯한 주요국은 보안을 경영진 책임으로 못 박고 금융 복원력까지 법률에 반영한다”며 “국내도 독립적인 금융보안 법제 정비가 시급하다”고 강조했다.