조좌진 롯데카드 대표 “3년 안에 금융권 최고 정보보호 기업 만들겠다”

“실력이 부족했을 수는 있지만 정보 보안에 대한 열정이나 노력, 애사심이 없어서 해킹을 당한 것은 아닙니다. 충분한 투자와 조직문화 개선 등으로 3년 안에 금융권 최고 수준의 정보보호 기업으로 거듭나겠습니다.”

조좌진 롯데카드 대표는 18일 서울 중구 부영태평빌딩 컨벤션홀에서 열린 언론 브리핑에서 해킹 사고에 대해 사과하며 이같이 밝혔다.

이번 사고로 고객 297만명의 정보가 유출됐다. 이 가운데 카드 부정 사용으로 이어질 가능성이 있는 고객은 28만명으로 집계됐다.

유출된 데이터는 7월 22일부터 8월 27일 사이 온라인 결제 과정에서 생성, 수집된 것으로 ▲연계 정보(CI) ▲가상결제 코드 ▲내부 식별 번호 ▲간편결제 서비스 종류 등이 포함된다.

조 대표는 “이번 사고를 단순한 보안 문제로만 보지 않고 롯데카드 경영 체계를 새로 구축하는 계기로 삼겠다”며 “제 사임을 포함해 시장이 납득할 만한 수준의 인적 쇄신을 단행하겠다”고 밝혔다. 그는 “현재 카드사들은 주로 회원 모집, 가맹점 프로모션 등 활동별로 조직이 구성돼 있어 책임 경영이 부족하다”며 “앞으로는 고객 한 사람, 한 사람의 편리와 정보 보호를 강화하는 구조로 재편하겠다”고 말했다.

롯데카드가 해킹 사고를 인지한 시점은 사고 발생 17일 만인 지난달 31일이다. 이에 대해 조 대표는 “해커가 오라클의 웹 애플리케이션 서버 ‘웹로직(WebLogic)’의 보안 약점을 이용해 침투했다”며 “이 서버는 사용량이 거의 없어 이상 징후를 즉시 파악하기 어려웠다”고 해명했다. 이어 “해커가 대용량 데이터를 한 번에 탈취하지 않고, 정상적인 작업과 구분하기 어려운 방식으로 공격해 침입을 인지하는 데 시간이 걸렸다”고 설명했다.

롯데카드는 앞으로 5년간 1100억원을 정보보호 분야에 투입하겠다고 밝혔다. 이를 통해 IT 전체 예산 가운데 정보보호 비중을 현재 10% 수준에서 15%까지 확대한다는 계획이다. 이는 금융권 가이드라인(7%)의 두 배를 넘는다.

사모펀드 경영 논란에 대해서도 해명했다. 앞서 롯데카드는 2019년 롯데그룹에 분리돼 MBK파트너스에 인수됐다. 사모펀드가 인수한 기업은 비용 절감을 우선시하는 경영 방식을 취하기 때문에, 보안 투자에 소홀했던 것 아니냐는 지적이 꾸준히 제기돼 왔다.

조 대표는 “인수 당시 정보보호 예산은 71억원, 인력은 19명이었으나 2021년에는 137억원을 투자해 재해 복구(DR) 시스템 구축과 백업 시스템 보강 등 대규모 투자를 했다”고 반박했다. 이어 “2022년부터 올해까지는 각각 88억원, 114억원, 116억원, 128억원을 투입하고 있다”며 “인력도 인수 당시 15명에서 현재 30명으로 두 배 늘렸다”고 설명했다.

그는 “정보보호에 많은 관심과 노력을 기울였지만, 이번 사태를 막기에는 충분치 못했다”며 “가장 큰 책임은 대표인 제게 있다”고 말했다.

한편 롯데카드는 지난달 26일 온라인 결제 서버에서 외부 침해 흔적을 발견해 즉시 정밀 조사를 진행했다. 이 과정에서 3개 서버에서 2종의 악성코드와 5종의 웹셸(원격 조종 장치)이 발견돼 삭제했으며, 추가 감염이나 다른 데이터베이스 전파는 없었다고 밝혔다.

지난달 31일 낮 12시경에는 온라인 결제 서버에서 1.7GB 분량의 데이터 반출 시도가 확인됐지만, 당시에는 고객 정보 유출이 확인되지 않았다. 롯데카드는 이달 1일 금융당국에 사고 사실을 보고했고, 2일부터 금융감독원과 금융보안원의 현장 검사가 진행됐다. 조사 과정에서 200GB 규모의 추가 데이터 반출 정황이 발견됐으며, 지난 17일 특정 고객의 일부 정보가 실제 유출된 사실이 최종 확인됐다.

글. 바이라인네트워크
<이수민 기자>Lsm@byline.network