22일 업계에 따르면 롯데카드 해킹 사고 피해 고객들은 '롯데카드 개인정보 유출 집단소송 카페'를 통해 집단 소송 참여자를 모집하고 있다. 이날 오전 기준 참여 의사를 밝힌 고객은 약 4200명 규모다.
롯데카드는 지난달 31일 외부 해커가 1.7GB(기가바이트) 분량의 데이터 반출을 시도한 정황을 발견하고 이달 1일 금융당국에 관련 사실을 보고했다. 이후 금융감독원·금융보안원의 현장 검사 결과 기존에 파악됐던 1.7GB보다 훨씬 큰 200GB 규모의 정보 유출 사실이 밝혀졌다.
총 피해 회원 규모는 297만명으로 이 중 지난 7월22일부터 지난달 27일 사이 신규 페이결제·커머스 사이트에 카드 정보를 등록한 고객 28만명은 △CVC △유효기간 △카드번호 등 민감정보가 유출돼 부정 사용 피해 가능성도 있었다.
28만명 고객들이 집단소송 카페에 공유한 해킹피해 안내 메시지에 따르면 이들은 △카드번호 △유효기간 △주민등록번호 △CVC △생년월일 △비밀번호(앞 2자리) 등을 비롯해 13종의 정보가 유출됐다.
롯데카드는 피해 고객들에게 △피해 금액 전액 보상 △10개월 무이자 할부 △카드사용 알림 서비스 △금융피해 보상 서비스 등을 지원하기로 했지만 고객들의 불안은 줄어들지 않는 상황이다. 집단 소송 카페에서는 개인정보 유출 피해자들의 참여 의사·피하 사례를 수집 후 전문 로펌과 연계한 집단 소송 절차를 계획하고 있다.
롯데카드의 해킹 사고 발생 원인 롯데카드와 그 최대 주주 MBK파트너스의 보안투자 미흡이라는 지적도 제기된다. 업계 및 당국에서는 MBK파트너스가 롯데카드 인수 후 단기 실적 상승을 위해 보안 관리 등 장기적인 투자에 소홀했다는 의견이 나오고 있다.
이에 롯데카드·MBK파트너스는 "롯데카드는 매년 정보보안 및 정보·기술(IT) 투자를 꾸준히 확대했다"며 "전체 IT 비용 대비 보안 투자 비중도 10~12% 수준"이라고 해명했지만 전체 IT 인력·비용 대비 투자 비율은 오히려 감소한 것으로 나타났다.
롯데카드가 발표한 정보 보안 투자 비용 및 인력은 MBK의 인수 시점인 지난 2019년 71억4000만원·19명에서 올해 128억1000만원·30명까지 증가했다. 다만 전체 IT 비용·인력 대비 비율은 비용 12%·인력 45%에서 각각 10%·20%까지 감소했다. 특히 인력 비율은 매년 감소해 MBK인수 시점 대비 25%p 줄었다.
이에 당국에서는 전 금융권 정보보호 조치 상황 점검에 나섰다.권대영 금융위원회 부위원장은 오는 23일 서울 영등포구 KB국민은행 신관에서 전 금융권 CISO를 소집한다. 소집 대상은 은행·카드사 등의 전체 임원으로 100여명의 CISO가 참석할 예정이다.
권 부위원장은 CISO들에게 철저한 보안 관리와 권한 강화 등을 설명할 것으로 전망된다. 금융당국은 롯데카드 사태 발생 이후 긴급 대책회의를 통해 CISO가 주도적으로 보안강화 조치를 취할 수 있도록 권한 강화를 추진하기로 결정했다.
또한 금융위는 소비자들이 금융사별 보안 수준을 비교하고 서비스를 선택할 수 있도록 관련 공시를 강화하고 사이버 침해 사고가 발생하더라도 즉각적인 시스템 복구·소비자 보호 조치가 가능하도록 전 금융권 대응 매뉴얼 고도화 방침을 밝힌 바 있다.
댓글 더보기