[단독] 예고된 해킹?… 롯데품 떠난 롯데카드, 5년간 보안감사 '단 1회'

사이버 해킹 사고로 홍역을 앓고 있는 롯데카드가 최근 5년간 IT보안 자체감사를 단 한 차례만 실시한 것으로 나타났다. 다른 카드사들이 최소 3번 이상 점검한 것과는 대조적이다.

이는 2019년 롯데그룹에서 분리된 이후 사모펀드로 넘어가면서 발생한 일이다. 960만 회원을 보유한 롯데카드가 MBK파트너스에 인수되면서 보안관리 전반이 허술해지고 결국 해킹사고로 이어진 것 아니냐는 지적이 나온다. 

7일 금융감독원이 국회 정무위원회 강준현 의원실에 제출한 ‘전업카드사 IT자체감사 수행 현황’에 따르면 2021년부터 2025년까지 전업카드사 8곳 중 롯데카드를 제외한 모든 회사가 최소 3회 이상 IT보안 자체감사를 실시했다.

신한카드는 매년 보안 점검을 통해 개선 과제를 도출했고, 삼성·현대·KB국민·하나·BC카드도 4차례 이상 감사를 진행했다. 우리카드 역시 3회 보안 감사 과정을 거쳤다.

반면 롯데카드는 지난해 단 한 차례만 IT보안 감사를 진행했다. 당시 롯데카드는 자체적인 IT보안 수준이 ‘적정’하다고 판정. 추가적인 개선조치를 취하지 않았다. 다른 카드사들이 ▲단말 보안 솔루션 설치 ▲불필요 계정 삭제 ▲데이터 암호화 ▲접근통제 강화 등 후속조치를 이어간 것과 대비된다.

허술한 점검이 결국 사고로 이어졌다. 롯데카드는 지난달 온라인 결제 서버에 외부 침입 흔적이 발견돼 1.7GB 규모 내부 파일이 유출됐다. 파일 유출은 14일부터 16일까지 세 차례 시도됐고, 이 가운데 두 차례 성공한 것으로 금융감독원 보고에서 확인됐다. 롯데카드가 해당 사실을 인지한 시점은 17일이 지난 뒤였다. 금융당국은 고객정보가 포함됐을 가능성을 배제하지 않고 현장 검사를 진행 중이다.

롯데카드 관계자는 “자체감사의 경우 감사의 종류, 범위, 항목 등에 대해 사별로 자체적으로 기준을 정해 실시하고 있어 점검 결과에 대한 사별 비교가 어려운 측면이 있다”며 “올해부터는 금융감독원 IT감사 체크리스트를 반영해 자체 감사를 수행하고 있어 한층 더 강화된 수준으로 진행하고 있다”고 말했다

롯데카드가 MBK파트너스에 인수된 이후 회사의 보안 체계가 총체적으로 허술해졌다는 주장도 제기된다.

롯데카드는 2019년 10월 MBK파트너스가 컨소시엄을 통해 1조3810억원에 인수한 이후 사실상 사모펀드 소유 구조로 운영돼 왔다. 사모펀드 특성상 비용 절감 기조가 강할 수밖에 없는데, 보안은 곧 비용이라는 인식 탓에 관리가 소홀해진 것 아니냐는 비판이 제기된다. 

실제 MBK파트너스 소속 이사는 롯데카드 이사회에서 정보보호 관련 안건 보고가 있었음에도 두 차례 불참한 것으로 확인됐다. 지난해 5월과 올해 2월 열린 이사회에서 금융분야 정보보호 상시평가 결과가 보고됐지만, MBK파트너스 부회장이자 롯데카드 기타비상무이사인 김광일 이사는 외부 일정을 이유로 불참했다. 정보보호를 주요 현안으로 다루는 자리에서 대주주 측의 무관심이 드러났다.

롯데그룹 산하에서 벗어나면서 보안 체계에 공백이 생겼다는 분석도 나온다. 과거 그룹 계열사일 때는 롯데이노베이트(前 롯데정보통신)가 계열사들과 보안 위수탁 관계를 맺고 관리했지만, 분리 이후 자체 보안 솔루션을 구축하면서 문제가 발생했다는 의견이다. 

현재 롯데카드는 롯데이노베이트와 일정 영역에서 위수탁 관계를 유지하고 있지만, 이번에 발생한 해킹사고 건은 롯데이노베이트가 운용하는 영역이 아닌 것으로 확인됐다.

실제 이번 해킹은 오라클 웹 애플리케이션 서버 ‘웹로직(WebLogic)’의 취약점(CVE-2017-10271)을 악용한 방식으로 이뤄져 논란이 일고 있다. 해당 취약점은 이미 2017년에 공개돼 보안 패치까지 배포된 문제다. 해커는 이를 통해 웹셸 프로그램을 설치하고 악성코드를 감염시킨 것으로 알려졌다.  약 8년 전 발견돼 패치까지 나온 취약점에 회사 보안이 뚫린 것이다.

염흥열 순천향대 정보보안학과 명예교수는 “과거 롯데카드가 롯데그룹 산하에 있을 때에는 롯데정보통신과 위수탁 관계를 맺으며 보안 관리 체계를 유지해 온 것으로 알고 있다”며 “롯데카드가 계열사에서 이탈하면서 전반적인 보안 문화에 변화가 생겼을 것으로 보인다”고 말했다.

염 교수는 또 “이익을 최우선으로 하는 사모펀드의 경우 보안을 비용을 취급하는 경우가 많아 조직 전반의 보안 문화가 약화될 우려는 있다고 본다”고 덧붙였다. 

한편, 금융당국은 이번 롯데카드 해킹과 관련해 고객 정보 유출 여부와 내부통제 부실 여부를 집중 점검 중이다. 지난 3일 금융위원회는 전자금융거래법상 안전성 확보 의무 위반에 대해 과태료를 엄격히 부과하는 개편안을 의결한 만큼, 불이익은 불가피할 것이라는 전망도 나온다.

전대현 기자
jdh@chosunbiz.com