신용정보 털린 롯데카드, 관리 부실에 늦장 대응까지 징벌적 손해 배상 가능성

롯데카드 해킹으로 300만 명 신용정보 유출
카드 재발급·연말까지 무이자 할부 등 지원
금융당국, 원인 규명과 사후 조치 철저 감독

롯데카드 해킹 사고로 297만 명의 회원 정보가 유출되는 대규모 정보보안 사태가 발생한 가운데, 회사 측의 늦장 대응이 도마 위에 올랐다. 롯데카드는 평소 사용하지 않던 서버를 통해 해킹이 발생했다고 해명했지만, 정보보호 노력이 부족했다는 비판은 피할 수 없을 것으로 보인다. 특히 민감한 신용정보가 다수 유출된 만큼, 징벌적 손해배상은 물론 금융당국 과징금 부과 가능성까지 거론되고 있다.

최대주주 MBK 인수 후 정보보호 투자 부실 논란

19일 롯데카드가 공개한 해킹 사고 개요 및 경과에 따르면, 외부 공격자는 지난달 12일 새벽 3시 처음으로 온라인 결제 시스템에 침입해 취약점을 스캔하고 이튿날인 13일 악성코드(웹셸)를 롯데카드 온라인 결제 서버에 설치했다. 이어 14일과 15일 이틀에 걸쳐 고객 정보가 유출됐다. 롯데카드는 사건 발생 2주가량 지난 26일이 돼서야 악성코드 감염을 최초로 인지하고, 전체 서버를 대상으로 검사를 실시했다. 고객 정보가 유출된 사실은 지난달 31일에 처음으로 파악해 이달 1일 금융감독원에 공격 사실을 신고했다. 

롯데카드는 평소에 거의 사용하지 않던 서버로 해커가 침투했고, 데이터를 조금씩 반출했기에 해킹 사실 인지가 늦었다고 해명했다. 하지만 롯데카드가 실질적인 정보보호 노력이 부족했다는 비판은 피하기 어려울 전망이다. 특히 최대 주주 MBK파트너스가 수익성 확대에 몰두하면서 정보호호 투자를 소홀히 한 것 아니냐는 지적이 나온다. 이에 대해 롯데카드는 "MBK파트너스 인수 이후 정보보호 예산과 인력을 늘려왔다"며 "화이트해커 모의 침투, 스미싱 메일 대응 등을 시행하며 정보보호에 많은 투자를 했다"고 설명했다.

롯데카드 자체 조사보다 실제 피해 200배 늘어나

늦장 대응만큼이나 유출 피해 규모가 큰 점도 논란이 되고 있다. 당초 롯데카드는 지난달 31일 외부에서 누군가 1.7기가바이트(GB) 분량의 데이터 반출을 시도한 흔적을 발견하고 자체 조사를 진행해 “주요 정보의 외부 유출은 확인되지 않았다”고 밝혔다. 그러나 이후 금융 당국의 현장 검사에서 200GB의 정보가 유출됐고, 피해 고객도 300만 명에 육박한다는 사실이 확인됐다. 이는 당초 회사가 발표한 피해 규모보다 200배 이상 늘어난 수치다.

이 중 주요 결제 정보가 유출된 28만 명은 7월 22일~8월 27일 새로운 페이결제 서비스나 전자상거래 사이트에 카드 정보를 신규로 등록한 고객들이다. 롯데카드는 해당 카드가 오프라인 결제에서 부정 사용될 소지는 없으며, 현재까지 신고 내역도 없다고 소명했다. 하지만 단말기가 아닌 정보를 입력해 결제하는 키인(key-in) 거래에서 부정 사용 가능성이 있다고 보고 고객에게 카드 재발급과 사용 정지와 회원 탈퇴 등을 안내하고 있다.

주요 정보가 유출되지 않은 나머지 고객들은 온라인 결제 과정에서 생성·수집된 주민등록번호, 가상 결제 코드, 간편 결제 서비스 종류 등이 유출됐다. 롯데카드는 유출 고객 모두에게 연말까지 무이자 10개월 할부 서비스, 금융 피해 보상 서비스, 카드 사용 알림 서비스 등을 무료로 제공하겠다고 밝혔다. 또 향후 유사 사건 재발 방지를 위해 내부 보안 체계를 점검하고, 외부 전문가와 협력해 강화된 정보보호 조치를 시행할 방침이라고 전했다.

배상책임보험 부책 사유 안 돼 상당액 자부담할 듯

이번 사태와 관련해 금융당국은 롯데카드 사태의 원인 규명과 사후 조처를 철저히 감독하기로 했다. 특히 롯데카드가 제시한 소비자 보호 대책이 제대로 이행되는지 꼼꼼히 점검하고, 중대한 위법 사항이 드러날 경우 최대 수준의 제재를 가하겠다고 강조했다. 신용정보법상 주요 고객정보가 대거 유출된 경우, 전체 매출의 최대 3%까지 과징금을 부과할 수 있는데, 롯데카드의 경우 2024년 매출 규모에 견주면 최대 800억원의 과징금이 부과될 수 있다는 계산이다.

손해배상 규모도 상당할 것으로 보인다. 업계에서는 신용카드 결제 내역, 카드 비밀번호, CVC 등 민감한 신용정보가 다수 유출된 만큼 손해배상 책임의 상당액을 롯데카드가 자부담할 것으로 보고 있다. 롯데카드는 현재 롯데손해보험의 개인정보배상책임보험에 가입한 상태다. 해당 보험은 매출액 10억원 이상·정보 주체 1만 명 이상인 기업이 필수 가입하는 의무보험으로 개인정보보호법에서는 기업의 보험이나 공제 가입, 준비금 적립 등을 의무 조치로 규정하고 있다.

문제는 신용정보 유출이 확인되면 손해배상 책임을 기업 스스로 져야 한다는 점이다. 보험금 수령이 가능한 부책 사유는 개인정보의 우연한 유출로 법률상 손해배상이 발생할 때로 국한된다. 예를 들어 지난 4월 2,324만 명의 고객 정보가 털린 SK텔레콤은 신용정보가 아닌 휴대전화 번호, 가입자 식별번호(IMSI), 유심인증키(Ki, OPc) 등 25종이 유출돼 개인정보배상책임보험금으로 일부 보전이 가능하지만, 신용정보가 유출된 롯데카드는 이보다 무거운 처벌이 예상된다. 

징벌적 손해배상 가능성도 제기된다. 롯데카드는 2014년에도 신용카드 부정사용 방지시스템(FDS) 개발 과정에서 개인정보가 유출돼 3,577명에 각 10만원씩을 배상했다. 당시 재판부가 일부 유출 건이 수사기관에 의해 압수된 점, 제3자에게 유통되지 않은 점을 고려했지만, 이번에는 신용정보까지 유출돼 롯데카드의 부담이 클 것으로 보인다. 법조계는 10년간 결제관리 서버의 취약점을 방치하고, 해킹 인지를 17일이나 지연한 점을 근거로 '중대한 과실'에 해당할 가능성이 높다고 분석한다.