해킹 사태 사후대처 나선 롯데카드, 비용 부담에 향후 실적 '위태'

롯데카드, 개인정보 유출 고객 보호 조치 마무리
실적 악화, 회원 이탈, 영업정지 등 후폭풍 우려
韓 산업계의 안이한 보안 의식, 관련 투자 적극적으로 늘려야

롯데카드가 최근 발생한 사이버 침해 사고 피해 고객 일부에 대한 보호 조치를 완료했다. 정보 유출로 인해 카드가 부정 사용될 위험이 있는 고객들을 중심으로 사후 대처에 나선 것이다. 시장에서는 롯데카드가 이번 사태로 인해 수백억원 규모의 비용 부담을 떠안으며 실적에 '직격탄'을 맞게 될 것이라는 우려가 흘러나온다.

롯데카드의 해킹 사태 후속 조치

2일 롯데카드는 최근 개인정보가 유출된 전체 고객 297만 명 중 48%에 해당하는 약 142만 명에 대한 카드 재발급 신청, 비밀번호 변경, 카드 정지 및 해지 등 고객 보호조치가 시행됐다고 밝혔다. 전체 재발급 신청 건수는 약 116만 건이며, 이 중 76%에 해당하는 약 88만 건의 재발급이 완료됐다. 나머지 28만 건은 추석 연휴가 끝나는 주말까지 순차적으로 재발급될 예정이다.

키인(KEY IN) 거래를 통한 부정 사용 가능성이 존재하는 고객 28만 명 중 79%에 해당하는 약 22만 명에 대한 카드 재발급 신청, 비밀번호 변경, 카드 정지 및 해지 등의 조치도 이뤄졌다. 롯데카드는 유출 피해를 겪은 고객 중 이들 28만 명을 제외한 269만 명의 경우에는 유출된 정보만으로 카드 부정 사용이 발생할 가능성이 없으며, 297만 명 이외의 일반 고객의 정보는 일절 유출되지 않았다고 설명했다. 그럼에도 피해가 우려되는 이용자는 롯데카드 앱이나 홈페이지를 통해 비밀번호 변경, 해외 거래 차단, 카드 재발급 등을 진행할 수 있다.

아울러 롯데카드는 현재까지 이번 사이버 침해 사고로 인한 부정 사용 시도나, 실제 소비자 피해로 이어진 사례는 단 한 건도 확인되지 않았다고 밝혔다. 침해 사고로 인해 발생한 직접적 피해나 고객 정보 유출로 인한 2차 피해에 대해서는 연관성이 확인된 경우에 한해 롯데카드에서 전액을 보상한다.

금전적 손실 막대할 것으로 전망

시장에서는 이번 사태가 롯데카드의 실적에 막대한 타격을 입힐 것이라는 분석에 힘이 실린다. 롯데카드가 사태 수습을 위해 대규모 비용 부담을 짊어질 가능성이 크기 때문이다. 우선 롯데카드는 정보 유출 고객 전원에 대해 무이자 10개월 혜택을 제공하기로 했다. 올 상반기 롯데카드가 벌어들인 누적 할부 수수료 수익이 2,946억원에 달한다는 점을 고려하면 수익성 저하는 사실상 필연적이다. 부정 사용 가능성이 존재하는 고객들의 카드 재발급과 차년도 연회비 면제 조치에 따른 손실 규모는 최소 56억원에 달할 것으로 추산된다.

개인정보보호법에 따라 부과될 과징금도 롯데카드의 수익성을 위협하는 요인이다. 개인정보보호법 제64조의2에 따르면 개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조·훼손된 경우 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 않는 범위에서 과징금을 부과할 수 있다. 지난해 롯데카드의 매출이 2조7,000억원 수준인 것을 감안하면 과징금 한도는 최대 810억원에 달한다. 이는 롯데카드의 2025년 추정 당기순이익 879억원의 90.8%에 이르는 수준이다.

회원 이탈 흐름 역시 심각한 악재다. 고객 정보가 유출된 297만 명 가운데 카드를 정지하거나 해지한 고객은 각각 11만6,719명, 4만2,014명(9월 1~23일)으로 집계됐다. 향후 롯데카드가 영업정지 제재를 받게 될 가능성도 배제할 수 없다. 여신전문금융업법에 따르면 개인정보 유출로 인한 영업정지 기간은 3개월에서 최대 6개월까지다. 카드업계의 시장 점유율 경쟁이 눈에 띄게 치열해진 가운데, 영업정지 조치가 이뤄질 경우 롯데카드의 영업 기반은 위축될 수밖에 없다. 

교묘해지는 사이버 공격, 기업들은 '모르쇠'

주목할 만한 부분은 롯데카드를 넘어 산업계 곳곳에서 침해 사고가 빈발하고 있다는 점이다. 지난 4월에는 SK텔레콤 유심 정보 유출 사태가 수면 위로 떠올랐고, 이후 6월부터 이달까지 예스24, SGI서울보증, 롯데카드, KT에서 한 달도 거르지 않고 줄줄이 침해 사고가 발생했다. 이들 침해 사고의 특징은 해커가 장기간 각종 취약점과 침입 경로, 개인정보 등을 확보해 치밀하게 공격을 준비했다는 데 있다. 실제 SK텔레콤을 공격한 해커는 4년 전 내부망에 침투해 악성 프로그램을 설치하는 방식으로 해킹 거점을 마련한 뒤 2,300만 명의 개인정보를 확보했다.

사이버 공격 수법이 점점 교묘해지고 있음에도 불구, 기업들의 대처는 여전히 안이하다. KT는 지난달 1일 경찰에서 무단 소액결제 피해 신고를 전달받았지만, 나흘이 지난 5일에서야 비정상 소액결제를 차단했다. 이번 사태를 단순 스미싱(문자를 통한 사기)으로 오판한 결과였다. 앞서 늑장 신고, 고객 공지 등 초동 대응 부실로 비판을 받은 SK텔레콤의 전철을 밟은 것이다. 롯데카드 역시 사태를 과소평가했다. 롯데카드는 지난달 18일 297만 명의 고객 정보 약 200GB(기가바이트)가 유출됐다고 발표했으나, 당초 금융당국에 보고한 유출 규모는 실제의 100분의 1 수준인 1.7GB였다. 사태 초반에는 홈페이지에 “정보 유출은 없다”는 공지를 게재하기도 했다.

이 같은 인식 부족 문제는 통계를 통해서도 확인된다. 과학기술정보통신부의 ‘2024 정보보호 실태조사’ 결과를 보면, 침해 사고를 경험한 기업 가운데 별다른 사후 대응을 하지 않은 기업의 비율은 67.7%에 달했다. 대응에 나선 기업도 보안 솔루션 구축·고도화(11.7%), 위탁관리 업체에 피해 보상 요구(11.3%), 내부 정책 수립·수정(9.3%) 등 소극적 방식을 채택한 경우가 대부분이었다. 침해 사고를 당하고도 신고하지 않은 기업은 80.4%나 됐다. 자체 정보 보호 정책을 수립한 기업은 51.6%, 정보 보호 조직을 둔 곳은 32.6%에 불과했다.

전문가들은 기업들이 투자 강화를 통해 전반적인 보안 체계를 재정비할 필요가 있다고 지적한다. 한 시장 전문가는 "국내 기업은 보안에 투입되는 자금을 ‘비용’으로 판단하는 경향이 강하다"며 "정보보호 규제 기준을 준수하는 정도에서 관련 투자를 마무리하는 기업이 대부분이라는 의미"라고 설명했다. 이어 "보안 분야 투자는 단순 비용을 넘어 안정적 경영을 위한 핵심 영역"이라며 "인식을 전환해 우리나라 기업들도 여타 주요국 기업들처럼 보안 투자 비중을 늘릴 필요가 있다"고 강조했다. 실제 글로벌 보험사 히스콕스 보고서에 따르면 미국, 유럽 기업들은 IT 예산 중 평균 10% 이상 금액을 보안에 투자한다.