"해킹으로 인한 카드 재발급 신청이 100만건까지 밀려있지만 이번 주말까지 대부분 해소될 것으로 본다."

조좌진 롯데카드 대표는 24일 서울 여의도 국회 본관에서 열린 과학기술정보방송통신위원회 '통신·금융 해킹사태' 관련 청문회에 증인으로 출석해 이같이 밝혔다.

이날 청문회에서 신성범 국민의힘 의원이 "롯데카드 재발급을 요청했는데 일주일간 진행이 되지 않고 있다"고 지적하자 조 대표는 "재발급 신청하신 분들이 100만명 정도 밀려있는 상태"라며 "24시간 풀가동해도 하루 재발급 캐파(허용량)가 6만장이라 차근차근 처리하고 있다"고 답했다. 이어 "이번주 주말 정도까지는 대부분 해소될 것"이라고 말했다.

이에 더해 조 대표는 개인정보보호관리체계(ISMS-P) 인증 관련 책임 소재, 해킹 경로 및 원인, 금융당국 늑장 보고 논란, 사임 및 인적 쇄신 계획, 고객 포인트 사용 문제, 카드모집인 보호 방안, MBK파트너스 보안 투자 계획, 추가 해킹 시도 가능성 등에 대한 질의응답을 이어갔다.

이날 조인철 더불어민주당 의원은 "ISMS-P 인증을 받으려면 100개 항목에서 모두 적합 판정을 받아야 하는데 인증을 받은지 한달도 채 되지 않아 고객 개인정보가 유출됐다는 것은 판정대로 조치를 하지 않았거나 체크리스트 자체가 아무 의미가 없었다는 뜻 아니냐"고 물었다.

이에 조 대표는 "ISMS-P 인증은 범위가 상당히 광범위하다"며 "이번 해킹 문제는 인증제도가 아니라 회사의 보안 체계에 있다"고 해명했다. 이어 "인증과의 직접적인 관계보다 내부의 정보보호 관리실태가 부실했다"며 "이번 건과 관련해서는 회사의 책임이 더 크다고 생각한다"고 말했다.

해커가 악성코드를 어떤 경로를 통해 심었는지 설명해달라는 이정헌 더불어민주당 의원에 조 대표는 "2017년경 온라인 결제 서버 내에 웹로직 1개가 업그레이드가 안 된 허점을 타고 악성코드가 들어왔다"고 말했다. 48개의 온라인 결제서버(WAS) 중 해외 소규모 페이 서비스를 하는 WAS 하나에 보안 패치 업데이트가 누락됐다고 밝혔다.

박정훈 국민의힘 의원이 "297만 명의 주민등록번호, 카드번호, 비밀번호, CVC(카드 뒷면 3자리 숫자) 등이 유출됐는데 악성코드 침투조차 파악하지 못한 것 아니냐"고 지적하자 조 대표는 "웹쉘 탐지 체계를 갖췄지만 공격자가 탐지되지 않는 곳에 웹쉘을 설치해 확인하지 못했다"고 답했다.

이정헌 더불어민주당 의원은 "정보 유출이 아닌 침해 사실 발생 직후 금융감독원과 금융보안원에 해당 내용을 보고했다면 정보 유출 사태까지 이어지지 않았을 것"이라고 말했다.

이에 대해 조 대표는 "침해행위와 침해사고를 구분해 보고하고 있으며 침해행위만으로는 보고 의무가 없다"는 취지로 해명했다. 또한, "신고를 할 수 없다기보다 전자금융거래법은 침해행위와 침해사고를 구분하고 있다"며 "침해 행위에 의해서 시스템이 교란되거나 마비되어야 사고가 된다"고 설명했다. 이어 "다만 그럼에도 보고가 늦었다는 이 의원의 발언에는 전적으로 동의한다"라고 덧붙였다.

이해민 조국혁신당 의원이 사임을 포함한 인적 쇄신 계획을 묻자 조 대표는 "그렇다"고 재차 입장을 밝혔다. 더불어 "이번 사태 처리가 제 마지막 임무라고 생각한다"고 답했다.

조인철 더불어민주당 의원이 카드 해지시 포인트 소멸 우려를 제기하자 조 대표는 "카드 해지와 상관없이 계속 사용할 수 있다"고 설명했다. "포인트의 종류가 많지만 대표적인 엘포인트는 롯데 유통망 안에서는 현금처럼 사용되고 있는 포인트"라며 "전화번호로 고객 확인만 되면 그대로 사용할 수 있다"고 말했다.

금융당국 징계로 영업정지를 당할 경우 모집인 보호 대책을 묻는 질문에 조 대표는 "모집인들은 저희와 함께 가는 가족 같은 존재"라며 "충분한 대책을 강구하겠다"고 말했다.

이정헌 더불어민주당 의원은 "올해 롯데카드 정보보호 예산 편성액은 128억원으로 지난해 151억원 대비 15.2% 감소했다"며 "지난해 편성액 중 실제 집행액이 117억원에 불과했는데 이를 근거로 '예산을 늘렸다'고 주장하는 것은 국민을 속이는 행위"라고 질타했다.

이에 조 대표는 "실제 투자는 줄지 않았다"며 "예산 집행 구조상 차이가 있을 뿐 보안 강화를 위해 노력하고 있다"고 말했다.

또한, 이정헌 의원은 "MBK파트너스가 2022년부터 매각을 시도하고 있고 올해도 롯데카드를 매각하는 과정에 있다"며 "롯데카드 보안에 향후 5년간 1100억원의 투자를 하겠다고 했는데 믿을 수 있겠느냐"고 질문했다.

이에 윤종하 MBK파트너스 부회장은 "금융사 투자를 여러 번 한 적이 있기 때문에 금융 보안은 핵심가치라고 생각한다"라고 말했다.

추가로 악성코드가 심어졌거나 해킹 시도가 있었을 가능성에 대해 조 대표는 "그럴 가능성도 있다"고 인정했다. 롯데카드는 총 1300개 서버의 로그 기록 보관 기간이 각각 다르게 설정돼있어 웹로직 패치 누락에 따라 지금까지 회사가 모르고 지나간 해킹 시도 가능성도 배제할 수 없다고 설명했다.

한편, 조 대표는 청문회 전반에 걸쳐 "고객분들의 신용정보를 다루는 금융회사로서 고객 정보가 유출됐다는 것 자체만으로도 실수이자 잘못이라고 생각한다"며 "소비자 피해와 불편을 최소화하기 위해 최선을 다하겠다"고 반복적으로 사과했다.

류지현 기자 / 경제를 읽는 맑은 창 - 비즈니스플러스