투데이e코노믹 = 유서진 기자 | 롯데카드가 해킹 사고를 당하고도 보름 넘게 이를 파악하지 못한 것으로 3일 드러났다.

결제 내역 등 고객정보 유출 가능성이 제기되면서 금융당국이 긴급 현장검사에 착수했다.

3일 금융감독원이 국회 정무위원회 소속 강민국 의원실에 보고한 자료에 따르면 롯데카드에 최초 해킹 사고가 발생한 시점은 지난달 14일 오후 7시 21분이다. 

이날과 15일 이틀에 걸쳐 온라인 결제 서버 해킹이 이뤄졌는데, 실제 내부 파일이 외부로 반출된 것은 2회로 파악됐다.

해커는 지난달 16일에도 해킹 시도를 이어갔으나, 이때는 파일 반출에 실패했다. 

그러나 롯데카드가 해킹 사고를 인지한 시점은 지난달 31일 정오이다.

사고 발생 후 17일이 지나서야 사태를 알게 된 셈이다.

금융당국 신고는 전날에서야 이뤄졌다. 

롯데카드에 따르면 유출된 데이터 규모는 약 1.7기가바이트(GB) 정도로 파악됐다.

금감원은 반출 파일에 포함된 정보의 구체적 내용을 파악 중이다 .

다만 금감원은 "반출 실패한 파일을 토대로 추정할 때 카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다"고 보고했다. 

고객정보 유출 가능성을 염두에 뒀다는 의미다.

롯데카드도 금감원에 "백신 추가 설치, 악성코드 진단 조치 이외에 정보 유출 가능 고객을 확인해 카드 비밀번호 변경 등을 안내하겠다"고 보고했다.

금감원은 이날 사실관계를 확인을 위한 롯데카드 현장검사에 착수했다.

금감원은 "소비자 피해가 발생하지 않도록 사실관계를 신속히 규명해 필요한 조치를 강구할 것"이라고 말했다.

한국인터넷진흥원(KISA)에 따르면 올해 상반기 침해사고 신고 건수가 1034건으로 2022년 473건에 비해 약 2.2배로 증가했다. 2023년은 664건, 지난해는 899건으로 침해사고 신고 건수는 꾸준히 증가하고 있다.

침해사고에는 분산서비스거부(DDoS·디도스), 랜섬웨어, 해킹 등이 해당한다.

강민국 의원은 "올해 6월까지만 해킹 사고 4건에 유출된 정보가 3천142건이나 된다"며 "해킹에 따른 피해에 비해 금융당국 제재 수위가 약한 것도 원인 중 하나"라고 지적했다.

그러면서 "개인정보 유출은 한번 터지면 2차, 3차 범죄로까지 이어지는 대형 금융 사고"라며 "해킹 사고에 금융당국의 제재 강화 방안 마련이 시급하다"고 강조했다.

한편 금융사의 해킹은 고객으로 피해 전이가 급속히 이뤄진다는 특징이 있다. SGI서울보증 사례가 대표적이다. 

SGI서울보증은 지난 7월 랜섬웨어에 감염돼 시스템 장애를 일으켜 서비스를 중단했다. 

이런 탓에 일부 가입자가 전세대출 보증을 받지 못해 입주하지 못하거나 통신사 개통을 할 수 없는 등 불편이 이어졌다. 

결국 SGI서울보증은 각 금융사, 통신사 등과 협의해 ‘선 대출 후 보증’의 방식으로 사태를 수습했다.

통신사, 보험사, 카드사 등 잇달아 계속 되는 해킹에 소비자들은 불안의 눈초리를 보내고 있다.