대규모 정보 유출 우려 속 거버넌스·소비자 보호 강화 요구

편집자주: 본 기사는 ESG(Environmental·Social·Governance) 전문 분석 시리즈의 일환입니다. ESG는 기업의 지속가능성과 책임경영을 평가하는 국제적 기준으로, 이번 기사는 해당 관점에서 이슈의 의미를 짚습니다.

17일 금융당국은 회원 960만 명을 보유한 롯데카드의 해킹 사고 피해 규모가 당초 예상보다 훨씬 크다고 밝혔다. 카드 정보와 결제 요청 내역이 포함됐을 가능성이 제기되며, 금융권 전반의 보안 체계와 거버넌스 관리가 시험대에 올랐다. 피해자 수는 수십만 명에서 백만 명 단위까지 거론되는 등 파장이 커지고 있다.

◆ 수백만명 피해 가능성, 늑장 인지 논란

이번 사건은 8월 14∼15일 온라인 결제 서버가 해킹을 당하면서 시작됐다. 그러나 롯데카드가 이를 본격적으로 인지한 것은 17일이 지난 8월 31일이었다. 피해 신고가 늦어지면서 ‘늑장 대응’ 논란이 불거졌다.

초기에는 유출 데이터 규모가 1.7GB라고 보고됐지만, 금융감독원 현장 검사에서는 피해 규모가 훨씬 더 크다는 정황이 드러났다. 금융당국 관계자는 “피해 범위가 알려진 것보다 훨씬 클 것으로 추정된다”고 말했다.

업계에서는 전체 피해자가 백만 명 단위에 이를 수 있다는 전망까지 나온다. 카드 교체나 보상 조치가 뒤따르지 않으면 신뢰 위기는 더욱 심화될 수 있다. 이 때문에 롯데카드 조좌진 대표가 직접 나서 대국민 사과와 대책을 발표할 것으로 알려졌다.

◆ 금융당국 “CEO가 직접 보안 챙겨야”

금융감독원은 여신전문금융회사 CEO들을 불러 모아 정보보호 강화를 주문했다. 이찬진 원장은 “대표가 직접 보안 인프라를 재점검하라”며 CEO 책임을 강조했다. 단기 실적에 치중해 보안 투자가 소홀해진 결과가 아닌지 되돌아보라는 발언도 덧붙였다.

그는 “한 번의 사고도 용납하지 않는 무관용 원칙”을 선언하며, 사고 발생 시 즉시 재발급이 어렵다는 소비자 민원을 해소하라고 지시했다. 앱·홈페이지 개편, 야간·주말 통합 콜센터 확대 등 소비자 접근 채널 강화도 요구됐다.

금융당국은 또한 신용정보법상 의무사항 위반 시 엄정한 책임을 물을 방침이다. 금융회사 내부통제 강화와 부실채권 관리, IT 인프라 투자 확대가 병행돼야 한다는 점도 함께 강조됐다.

◆ 대통령 “보안 투자, 비용 아닌 책임”

이재명 대통령은 수석보좌관회의에서 “보안 사고를 반복하는 기업에는 징벌적 과징금을 포함한 강력한 대처가 필요하다”고 지시했다. 통신·금융사 해킹이 잇따르며 국민 불안이 커지고 있다는 점을 언급하며, 보안을 단순한 비용이 아닌 기업 책임으로 인식해야 한다고 강조했다.

대통령 발언은 단순히 이번 롯데카드 사고에 그치지 않고, 금융·통신 산업 전반의 구조적 문제를 겨냥한 것이다. 실제로 일부 기업은 오래된 보안 서버를 방치해 왔고, 반복적으로 같은 방식의 해킹 공격을 받았다는 지적까지 나온다.

정부는 관계 부처 합동으로 선제적 조사와 제도 개선 방안을 마련하겠다고 밝혔다. 이는 기업 거버넌스 차원에서 이사회와 최고경영자의 보안 의무를 강화하는 방향으로 이어질 가능성이 크다.

◆ G(거버넌스)와 S(소비자 보호) 시험대

이번 사건은 ESG 요소 중 지배구조(G)와 사회적 책임(S) 측면에서 기업의 취약성을 드러냈다. 롯데카드는 ISMS-P 인증을 보유하고 있었음에도 사고를 막지 못했다는 점에서 형식적 인증에 그쳤다는 비판을 받는다. 이사회 차원의 보안 투자 우선순위 설정과 내부통제 강화가 시급하다는 지적이다.

소비자 보호 측면에서도 문제가 드러났다. 주말·야간에 카드 사용 중지나 재발급이 어렵다는 불만이 제기되며, 소비자가 자기 보호를 위한 방어권을 행사할 기회가 제한됐다는 것이다. 이는 금융사가 단순히 사고 보상에 그치지 않고, 사전적 대응과 긴급 대응 체계를 확립해야 함을 보여준다.

전문가들은 “ESG 경영은 친환경 활동에 그치지 않고 소비자 보호와 보안 체계 구축까지 포함한다”며 “이번 사건은 금융사의 ESG 성숙도를 가늠하는 리트머스 시험지”라고 평가한다.

◆ 제도 개선·투자 확대 요구 커져

금융감독원은 이번 사태와 별개로 롯데카드의 미성년자 마이데이터 가입 절차 누락 문제를 적발하고 전산시스템 개선을 요구했다. 개인정보보호위원회는 반복적 유출 기업에 매출액의 최대 3%까지 과징금을 부과할 수 있는 제도를 적극 활용하겠다고 밝혔다.

이 같은 제도 개선 논의는 금융권 전반의 투자 확대를 압박한다. 보안 인프라를 단순 비용이 아닌 필수 투자로 전환하지 않으면, 대규모 사고는 반복될 수밖에 없다. 업계에서는 이사회 차원의 보안 리스크 관리 보고 체계 의무화, 외부 전문가 참여 확대 등 구체적인 거버넌스 개혁이 필요하다는 목소리가 커지고 있다.

결국 이번 사건은 롯데카드만의 문제가 아니라 금융사 전체가 직면한 구조적 도전이다. 보안 체계를 ESG 경영의 핵심으로 재설정하지 않는 한, 신뢰 위기는 반복될 수 있다.

☑️ 요약:
롯데카드 해킹 사고는 피해 규모가 백만 명 단위로 확산될 수 있는 대형 보안 위기다. 금융당국과 대통령은 CEO 직접 책임과 징벌적 과징금을 강조하며 제도 개선을 추진하고 있다. 이번 사건은 ESG의 지배구조와 소비자 보호 영역에서 금융사의 취약성을 드러냈고, 보안을 비용이 아닌 책임으로 인식하는 거버넌스 혁신이 요구되고 있다.