국내 카드사 규모 6위이자 MBK파트너스가 대주주인 롯데카드사에서 내부파일 유출 시도가 3일간이나 있었지만 인지 못하고 금융당국에 늑장 신고한 것으로 확인됐다.
국회 강민국 의원실(경남 진주시을)에서 금융감독원이 파악해 보고한 '롯데카드사 침해사고'를 확인한 결과, 롯데카드사 내부파일 외부 유출 시도가 3일간이나 있었고, 이 기간 중 유출은 2회인 것으로 조사됐다.
현재 롯데카드사가 9월 1일(월), 금융감독원에 보고한 해킹 사고 인지 시간은 8월 31일 낮 12시였다.
하지만 금융감독원이 파악한 바로는 해킹에 따른 내부파일 유출은 최초 8월 14일 오후 7시 21분이었으며, 유출 시도는 8월 16일까지 계속됐다.
이 기간 중 실제 내부파일 유출은 14일과 15일 1차례씩 2회였으며, 유출 경로는 온라인결제 서버 해킹을 통해 외부로 반출됐다. 16일에도 해킹 시도가 계속되었으나 16일에는 반출이 실패했다.
즉 금융감독원이 파악한 내부파일 유출 발생 시간과 롯데카드사가 해킹 사고를 인지한 시점 간에 17일이나 차이가 난다는 것이다.
이는 롯데카드사가 인지하고도 회사 차원에서 대응한다고 늑장으로 신고하였거나 아니면 능력 부족으로 말 그대로 인지를 늦게 한 것이다.
더욱이 금융감독원의 초기 확인 단계에서 파악한 내용과 롯데카드사가 제시한 향후 계획을 보면 고객 정보 유출 가능성도 높다는 것을 알 수 있다.
금융감독원은 "반출된 파일에 포함되어 있는 정보의 구체적 내용은 파악 중이지만 반출 실패한 파일을 바탕으로 추정 할 때, ‘카드 정보 등 온라인 결제 요청 내역’이 포함된 것으로 보인다"고 밝혔다.
또 롯데카드사는 금융감독원에 내부파일 유출에 대한 향후 대책으로 "백신 추가 설치, 악성코드 진단 등 조치 외에 유출 가능 고객 정보 확인 후 해당 고객에게 카드 비밀번호 변경 등 안내 예정"라고 보고했다.
즉 유출된 내부 파일에 고객 정보도 있을 것으로 추정할 수 있는 부분이다.
강민국 의원은 “올해 6월까지만도 해킹 사고 4건에 유출된 정보가 3,142건이나 된다는 것은 해킹에 따른 피해에 비해 금융당국의 제재 수위가 약한 것도 원인 중 하나이다”고 지적했다.
이에 강 의원은 “해킹사고에 따른 개인정보 유출은 한번 터지면 2차 3차 범죄로까지 이어지는 대형 금융 사고이기에 금융 당국의 제재 강화방안 마련이 시급하다”고 밝혔다.