[기자수첩] 해킹사태 뒤 이어진 인적 쇄신… 근본 해결은 보안 체질 개선

[한국금융신문 강은영 기자] 올해 8월 발생한 롯데카드의 해킹사고로 인해 카드업계는 물론 금융업계가 전반적으로 긴장해야 했다.

앞서 올해 초에도 대형 통신사인 SK텔레콤을 시작으로 KT, 예스24 등에서도 해킹사고가 발생했는데, 금융사에서 사고가 터지자 자체 점검을 강화할 수밖에 없었다.

연초부터 하루가 멀다고 발생하는 해킹사고로 인해 스스로도 무뎌질 때쯤 롯데카드 사태는 좀 더 다르게 다가왔다. 해킹 그룹이 약 200GB 데이터를 탈취해 갔고, 정보가 유출 당한 고객은 무려 297만명에 해당한다. 해킹 피해 고객 중 일부는 CVC 등 이른바 결제 시 필요한 중요 자료까지 탈취당했다.
사태 발생 후 롯데카드는 기자들을 대상으로 설명회를 열고 해킹 사고 경위와 재발방지에 대해 설명했다. 정보가 유출된 고객별로 안내와 보상 방안도 함께 안내했다.

쏟아지는 정보 속에서 기사를 정리하고 있을 때 롯데카드로부터 안내 문자가 날아왔다. 평소처럼 결제 내역을 안내하는 것이 아닌 어딘가 다르게 길고 장황한 설명이 있었다. 불안한 마음에 하던 일을 멈추고 확인해 본 결과, 나 역시도 중요 정보가 빠져나간 고객이었다.

여러 해킹 관련 뉴스를 접하면서 이런 환경에 조금은 무뎌졌다고 생각했는데, 막상 피해 당사자가 되고 나니 어안이 벙벙했다. 가장 먼저 카드 재발급과 비밀번호 변경을 신청했다. 그리고 할 수 있는 게 없었다.

혹시나 나의 정보를 가지고 무언가 결제하지 않았을까 불안해할 수밖에 없었다. 사태가 어느 정도 진정된 지금 해킹된 정보로 인한 결제는 발생하지 않았다. 마음이 조금 진정되고 나서 느낀 것은 왜 이런 사태가 발생했고, 나의 불안한 시간을 보상받을 방법은 없을까였다.

피해자가 되니 피해 여부와 함께 재발 방지 대책이 가장 중요하다는 것을 깨달았다. 앞서 설명회에서 사고가 발생하게 된 경위, 향후 계획, 주위의 우려 섞인 시선과 달리 꾸준히 IT 보안 관련 인력과 비용을 늘려 왔다는 안내에도 불안은 쉽게 가라앉지 않았다.

그럼에도 롯데카드 측에서는 내부적인 상황 파악이 끝난 후에 고객과 언론을 대상으로 브리핑을 진행했다. 이후 가장 궁금한 점은 사태에 대한 책임이었다. 기술 능력이 빠르게 발전하는 상황 속에서 마음먹고 공격하는 해커를 막을 수 있을 방도가 있겠냐마는 많은 고객이 피해를 입었기 때문에 이에 대한 책임을 묻지 않을 수 없었다.

조좌진닫기조좌진기사 모아보기 롯데카드 대표는 당시 설명회에서도 자신을 비롯한 인적 쇄신을 강하게 추진하겠다고 밝힌 바 있다. 실제 올해 10월 본부장 4명을 포함한 고위급 임원 5명이 스스로 용퇴하는 등 임원 인사와 대규모 조직 쇄신을 단행했다.

올해 11월 중순에는 조좌진 대표가 해킹 사태 책임을 지고 사임하겠다고 공식화했다. 당초 그의 임기는 내년 3월 말까지였으나, 이번 사고로 인해 총괄 책임과 재발방지 의지 차원에서 올해 11월까지 임기를 마무리하기로 했다.

롯데카드가 사고 발생 후 고객 배상부터 후속 조치로 발 빠르게 대응하면서 사고 여파가 일단락했다. 하지만, 해커의 능력이 점점 진화하는 가운데 어느 금융사도 해킹에서 안전하다고 할 수는 없다.
그러나 결국 핵심은 ‘누가 책임지는가’보다 ‘어떻게 다시는 이런 일이 발생하지 않게 만들 것인가’에 있다. 사고 이후 수습과 인적 쇄신은 필요하지만, 그것이 곧 보안 역량의 강화로 이어진다는 보장은 없다. 문제의 본질은 조직 내부의 보안 체질과 위험을 바라보는 관점이 얼마나 근본적으로 달라질 수 있느냐에 달려 있다.

해킹사고는 더 이상 특정 회사의 이슈가 아니다. 고객의 일상과 안전을 맡긴 서비스라면, 기업은 그 신뢰를 어떻게 지킬 것인지 끊임없이 자문해야 한다.

롯데카드가 인적 쇄신 이후 어떤 시스템과 문화를 만들어 갈지, 금융권 전체가 이번 사건을 계기로 보안 체질을 다시 점검할 수 있을지가 앞으로 더 중요한 과제가 될 것이다.

강은영 한국금융신문 기자 eykang@fntimes.com