해킹 사고가 발생한 롯데카드가 1년 전 보안관리 부실을 이유로 금융감독원으로부터 제재를 받은 것으로 나타났다. 정보기술(IT) 인력도 카드 업계 최저 수준이었다. 이번 침해 사고가 취약한 보안 시스템에 안일한 보안 인식이 더해져 발생한 예고된 인재(人災)였을 가능성이 크다는 뜻이다. 금융 당국은 관리 소홀로 인해 발생한 침해 사고일 경우 엄정 제재하겠다는 입장을 거듭 강조하고 있다.
3일 금융감독원의 '금융회사 경영유의사항' 공시에 따르면 롯데카드는 지난해 8월 전산자료 유출 방지 대책 미흡, 데이터 관리 부실 등과 관련해 경영유의·개선 조치를 받았다. 전년도 정기검사에서 카드 결제 내역이 타인에게 노출된 사실이 적발돼 기관주의 및 과태료 처분 부과 때 함께 받은 제재 건이다. 경영유의는 경영상 조치가 필요한 사항에 대해 개선을 요구하는 제재다.
금감원은 직원 PC의 부팅 단계의 암호 설정이 제대로 이뤄지지 않은 점을 지적했다. 금감원은 "단말기에 대한 부팅 비밀번호 설정을 강제화하고 있지 않아, 부팅 USB(이동식 저장장치) 등을 이용해 부팅 절차를 우회한 뒤 암호화되어 있지 않은 전산자료가 유출될 우려가 있다"고 했다. 비밀번호를 푸는 프로그램과 운영 체제를 USB에 담아 컴퓨터에 접속해 해킹을 시도할 경우, 부팅 암호가 없어 곧바로 자료가 유출될 수 있다는 점을 문제로 지목한 것이다.
고객의 계좌번호, 잔액 등 핵심적인 재무 정보가 기록된 대규모 DB(데이터베이스)인 전산원장 관리 미비도 문제로 짚었다. 롯데카드는 전산원장을 외부 아웃소싱 업체 직원이 변경하도록 했는데, 전자금융거래법에 따르면 외부 직원을 포함한 제3자는 전산원장 등 중요 데이터 변경이 금지된다. 이 밖에 용역 적정성 평가 절차 없이 IT 아웃소싱 업체와 수년째 계약을 연장하는 등의 행태도 지적했다.
롯데카드는 이번 해킹 사고와 관련해 3개의 서버에서 5종의 웹쉘(해커가 웹서버에 숨어들어 원격으로 서버를 조종하기 위해 만든 해킹 프로그램)과 2종의 악성코드와 함께 자료 유출을 시도한 흔적이 발견됐다고 밝혔다. 한 보안 업계 관계자는 "SGI서울보증, 웰컴금융그룹이 받은 랜섬웨어 해킹 공격과 비교해 고도화된 침해 수법은 아니다"라며 "기초적인 보안 시스템이나 점검이 대형 금융사 대비 미비했을 가능성이 있다"고 했다.
금융권 안팎에선 롯데카드의 내부 IT 인력이 적다는 점을 문제로 지목했다. 금감원이 공공데이터포털에 공개한 자료에 따르면 2022년 9월 기준 롯데카드의 IT 인력은 정보기술, 정보보호 인력을 포함해 78명으로, 8개 카드사 중 가장 적었다. 타사 IT 인력은 100~300명 수준으로, IT 인력이 두 자릿수인 곳은 롯데카드뿐이었다.
금감원은 이번 해킹 사고로 롯데카드에서 반출된 파일에 고객 정보가 포함됐을 가능성이 있다고 보고 있다. 금감원은 강민국 국민의힘 의원실에 "반출 실패한 파일을 토대로 추정할 때 카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다"고 보고했다. 금융 당국 관계자는 "관리 소홀로 인해 개인정보 유출 등의 사고가 발생했다면 제재로 이어질 수 있다"고 했다. 이찬진 금감원장은 전날 임원회의에서 "관리 소홀로 인한 금융보안 사고에 대해선 엄정하게 제재할 것"이라고 했다.