[인사이트코리아 = 남빛하늘 기자] 지난 9월 한 달 간 카드업계 최대 이슈는 롯데카드 사이버 침해 사고였다. 200기가바이트(GB) 규모 데이터 유출로 고객 297만명 개인정보가 털렸다. 이 가운데 28만명은 카드번호, 유효기간, CVC번호, 비밀번호, 주민등록번호 같은 민감한 정보까지 새어 나가 부정 사용에 노출되는 일이 발생했다.
이번 사고는 보안 업데이트를 소홀히 한 데서 시작됐다고 한다. 롯데카드는 고객 결제 정보 서버 관리에 미국 오라클사 웹로직(WebLogic) 프로그램을 사용해 왔는데, 2017년 보안 패치 과정에서 48개 서버 중 1개를 누락했고 그 빈틈이 결국 해킹 경로가 된 것이다.
여기에 최근 몇 년간 정보보안 투자도 줄인 것으로 드러났다. 롯데카드가 지난해 5월 발간한 ‘2024 지속가능경영보고서’를 보면 전체 정보기술(IT) 예산 대비 보안 투자 비중은 2021년 12%에서 2022년 10%, 2023년 8%까지 감소했다.
롯데카드 대주주 MBK파트너스는 “매년 정보보안 및 IT 투자를 꾸준히 확대해 왔다”고 해명했지만 비판 여론은 쉽게 수그러들지 않는다. 조좌진 롯데카드 대표도 향후 5년간 1100억원 규모를 정보보안에 투입하겠다고 밝혔으나 뒤늦은 사태 수습에 불과하다는 지적이다.
사고 여파는 곧바로 고객 이탈로 이어지는 모양새다. 지난달 1일부터 23일까지 4만2014명이 롯데카드를 해지했다. 여기에 고객정보가 유출되지 않은 회원까지 포함하면 이번달 탈회 회원 수는 8만명에 달할 것이라는 전망도 나온다.
카드사는 고객 신뢰를 기반으로 영업을 한다. 고객 정보를 보호하는 일이 곧 신뢰를 지키는 일이다. 롯데카드는 단 한 번 허술한 관리로 신뢰를 한순간에 무너뜨렸다. 다른 카드사에도 결코 남의 일이 아니다. 이번 사태를 계기로 업계 전체가 고객 정보 보호와 신뢰 유지를 최우선 순위에 두길 바란다.
