롯데카드에서 무려 297만 명의 고객 정보가 유출되었다고 18일 발표함에 따라 금융당국의 강력한 제재를 피할 수 없게 되었다. 이번 사건은 허술한 보안 관리와 신속한 대응 부족이 원인이었다. 2017년에 서버 보안 강화 작업 중 중요한 패치가 누락되었고, 이로 인해 해커가 시스템에 침투하여 정보를 유출하게 됐다.

위험 신호는 해커들이 지난달 14일과 15일 사이에 악성코드를 통해 여러 정보를 빼간 것으로 시작되었으나, 롯데카드는 26일에서야 감염 사실을 인지했다. 더욱이 금융당국의 조사가 시작된 이후, 정보 유출 규모가 초기 점검 시의 100배 이상인 200GB에 달했음이 밝혀졌으며, 이는 롯데카드가 금융감독원에 최초로 보고한 1.7GB와는 큰 차이를 보인다.

롯데카드는 "최초 해킹이 발생한 서버는 거의 사용되지 않아 관리가 제대로 이루어지지 않았다"고 해명했지만, 금융당국은 회사 측의 늑장 대응 여부에 대해 조사를 진행하고 있다. 금융위원회는 긴급대책회의를 소집하고, 현장에서 허술한 개인정보 관리 사항이 발견될 경우 최고 수준의 제재를 가할 방침임을 밝혔다. 이에 따라 롯데카드는 최대 6개월 동안 영업정지 처분을 받을 수 있으며, 과거 2014년에 정보 유출 사고로 3개월의 영업정지를 경험했음을 감안할 때, 이번 제재의 강도가 더욱 높아질 것으로 예상된다.

특히 이번 유출 사건에서는 카드번호, 비밀번호, CVC 번호와 같은 금융 거래 정보가 암호화도 되지 않은 상태로 유출된 점이 문제로 지적된다. 이와 함께, 이재명 대통령은 반복적인 보안 사고를 겪는 기업에 대해 징벌적 과징금을 부과하라는 지시를 내린 바 있어, 롯데카드도 대규모 과징금을 부과받을 가능성이 높다.

향후 금융당국은 디지털금융보안법 개정을 통해 과징금 제재 기준을 마련할 예정이다. 이 법률 초안에 따르면, 금융 거래 정보가 유출되거나 보안 사고가 발생할 경우 금융사의 전체 매출의 3%에 해당하는 과징금이 부과될 수 있으며, 상한선은 200억 원으로 설정되고 있다.

업계에서는 향후 제재들이 강화될 것으로 예측하고 있으며, 더불어민주당 의원들은 개인정보보호법 개정안을 발의해 징벌적 과징금의 상한선을 전체 매출의 10%로 높이는 방안을 추진하고 있다. 이러한 법적 변화와 기업에 대한 감독 강화는 해킹 피해를 경감하기 위한 필수적인 조치로 여겨지고 있으며, 보안 수준 개선 요구와 함께 이행 강제금 제정을 통한 강력한 대응이 논의되고 있다.

전문가들은 금융사와 비금융사 간의 심각한 사이버 보안 공조 체계의 전환이 필요하다고 강조하고 있다. 현재 금융사의 해킹 및 정보 유출 사건은 금융위원회가 관리하며, 민간 기업에서 발생한 사고는 과학기술정보통신부가 담당하는 시스템이 개편되어야 한다는 것이다. 이처럼 각 부처 간의 감독 권한이 분산되어 정보 공유와 초동 대응이 이뤄지지 않는 문제가 대두되고 있다.

올해 들어 기업을 겨냥한 해킹 사고는 크게 증가했으며, 최근에는 SK텔레콤 유심 해킹, 예스24 랜섬웨어 감염, KT의 소액 결제 피해와 같은 사건들이 발생해 국민의 생활에 직격탄을 날리고 있다. 한국인터넷진흥원(KISA) 통계에 따르면, 올해 상반기 동안 접수된 사이버 침해 사고 신고 건수는 지난해 같은 기간보다 15% 증가한 1,034건에 달한다고 한다.