뉴스부산=금융위원회는 18일 권대영 부위원장 주재로 롯데카드 정보유출과 관련해 관계기관, 전문가 등과 함께 구체적인 유출상황을 공유하고 이에 대한 대응방안을 논의했다고 밝혔다.

이날 회의에서는 국민들이 불안해하지 않도록 롯데카드가 정확한 정보유출규모 등 피해사실을 신속하게 알리고, 정보유출에 따른 피해 방지방안, 피해 발생시 면밀한 소비자 보호방안을 차질없이 실행하도록 하는 내용이 논의됐다.

금융보안·정보보호 미흡사항 등에 대한 철저한 조사를 통해 엄정한 제재가 이뤄지도록 하는 한편, 국민들이 안심하고 금융서비스를 이용할 수 있도록 금융보안·정보보호 관련 전 금융권 재발방지 대책과 근본적인 제도개선도 적극 추진하기로 했다.

금융위에 따르면 롯데카드는 9월 1일, 지난 8월 14~15일경 발생한 해킹 침해사고로 약 1.7GB 규모의 정보가 유출되었음을 금융위원회 및 금융감독원에 신고했다.

금융위원회는 금융보안원을 통해 1일 침해신고 접수 즉시 금융회사 등이 유사 침해행위를 방지할 수 있도록 공격자 IP 및 악성코드 대응방법 등을 全 금융권에 전파했고, 2일부터는 금융감독원·금융보안원이 현장조사에 착수하여 정보유출 경위·내용, 보안관리 위규사항 등에 대한 면밀한 조사를 진행했다. 

또한 금감원 내 비상대응체계 즉시 가동, 롯데카드 측에 강도 높은 소비자 보호조치 주문 등 2차 피해 예방을 위한 긴급조치를 취한 바 있다.

6일에는 금융위원회 부위원장 주재 관계기관 및 전문가 회의, 16일 금융감독원장 여신업계 간담회 등을 통해 롯데카드 침해사고 대응방안을 긴밀히 논의하고 금융권에 정보보호 주의 당부 등을 지속해 온 바 있다.

금감원·금보원 조사 과정에서, 당초 신고된 1.7GB를 포함해 총 200GB의 정보 유출이 있었음이 확인되었다. 미상의 해커가 롯데카드의 “온라인 결제서버(WAS)”에 침입하고 악성 프로그램(웹쉘)을 설치해 8.14~8.27일 기간 중 총 200GB의 정보를 유출한 것으로 밝혀졌다. 

롯데카드 측은 금융보안원이 200GB 정보유출 정황을 확인한 즉시부터 해당 정보에 개인신용정보가 포함되어 있는지 확인 작업에 착수하고, 확인 작업이 완료(9.17.)된 다음 날인 18일 금융위원회 및 금융감독원에 해당 사실을 공식적으로 신고하고 각 개별 고객들에 안내를 개시했다.

금융위는 유출된 정보 내에는 총 296.9만명의 개인신용정보가 포함되어 있으며, 이 중 약 28.3만명(9.5%)은 카드비밀번호와 CVC도 유출된 것으로 파악됐다고 밝혔다, 다만, 롯데카드 측에서 사고를 확인한 즉시부터 부정결제 방지를 위한 강화된 본인인증 조치 등을 취해 현재까지 부정결제 피해사실은 확인된 바 없으며, 롯데카드 고객센터에 부정사용으로 신고된 내역도 없는 것으로 나타난 바 있다.

정부는 향후 대응으로 무엇보다 정보유출에 따른 소비자 피해 예방에 가장 높은 우선순위를 두고 롯데카드가 실효성 있는 소비자 보호 조치를 시속하게 시행하도록 관리·감독할 예정이다. 

롯데카드는 사고 발생을 인지한 직후인 9.3일부터 개인정보 유출을 가정해 정보유출 가능성이 높은 고객군에 대한 추가 본인인증 등을 통해 2차 피해를 사전적으로 차단하는 한편, 침해사고로 인한 부정사용 발생시 전액 선보상, 비밀번호 변경, 해외결제 차단, 카드 재발급 지원 등 조치를 취했다.

롯데카드는 개인신용정보 유출이 실제로 확인된 만큼 부정사용 발생시 보상 원칙을 다시 천명하고, 2차 피해 문의, 재발급 수요 등에 대비하여 서버 및 콜센터 인력보강 등 조치를 신속히 취하기로 했다.

이미 개인신용정보 유출가능성이 제기된 시점에 비밀번호 등의 유출가능성이 있는 고객 중 약 17만명에 대해서는 우선적으로 온라인 결제시 추가 본인인증, FDS 강화 등으로 부정사용 가능성을 차단하고, 부정사용 우려를 원천 해소하기 위한 카드 재발급을 유도(개별안내완료)중이며, 비밀번호가 유출된 나머지 약 11만명에 대해서도 추가 본인인증, FDS 강화 등 조치는 이미 시행중이며, 신속한 카드 재발급도 유도하기로 했다.

아울러, 현장 혼선이 없도록 카드 재발급 역량을 제고하여 고객의 카드재발급 수요에 순차적으로 대응해 나갈 예정이다. 또한, 카드 이용한도 축소, 해외사용 차단, 일시 중지, 카드 해지 등 소비자가 선택 가능한 모든 피해예방 수단을 충실히 안내하고, 소비자가 원하는 대로 즉각적인 조치가 이루어질 수 있도록 준비하고 있다.

또한 개인 신용정보 관리·정보보안 등 관련 위규사항에 대해서는 금감원 검사를 통해 위규사항을 낱낱이 파악하여 엄정한 조치를 취할 예정이다. 현재 웹서버 관리, 악성코드 감염 방지 등 사태 전반에 대한 면밀한 검사가 진행중에 있으며, 허술한 개인정보·정보보안 관리 사항에 대해서는 최대 수준의 엄정한 제재가 이뤄지도록 할 방침이다.

초동 조사 과정에서 확인된 보안 취약점은 지난 2일 全 금융사에 旣 전파해 자체 점검을 주문한 바 있으며, 추가 확인되는 취약사항 등도 즉시 전파해 방비토록 할 계획이다. 아울러, 전체 카드사 보안 실태에 대한 금감원 점검을 즉시 개시하고, 위규사항 발견시 즉시 보완 및 제재조치토록 해 나갈 계획이다.

금융회사 보안관리 체계를 근본적으로 강화하기 위한 제도개선 과제도 신속히 추진한다. 보안 위규행위에 대한 금융사의 사전적 경각심 강화 및 사후적 “일벌백계” 차원에서 중대한 보안사고 발생시 일반적 과징금 수준을 뛰어넘는 징벌적 과징금을 도입하고, 금융회사가 정부의 보안수준 개선요구를 제대로 이행하지 않은 경우 지속적인 이행강제금을 부과하는 등으로 금융보안 관련 긴장감 있는 관리가 이뤄지도록 할 것이다.

정보보호최고책임자(CISO)가 주도적으로 보안강화를 할 수 있도록 CISO의 권한 강화, 소비자가 금융회사별 보안 수준을 비교하고 서비스를 선택할 수 있도록 관련 공시 강화 등을 통한 금융회사의 상시적인 보안관리 체계 구축, 불가피하게 침해사고가 발생 시 금융회사가 즉각적으로 시스템 복구 및 소비자 구제 등 조치를 취할 수 있도록 전 금융권의 대응 매뉴얼 고도화 등도 추진할 방침이다.

금융위원회 권대영 부위원장은 금융보안의 중요성을 강조하며, 금융회사의 부주의가 소비자 피해와 금융 신뢰성 훼손으로 이어질 수 있다고 경고했다. 그는 소비자 보호를 위해 면밀한 대응과 정확한 민원 안내가 필요하다고 당부했다.

또한 모든 금융회사 CEO가 보안을 핵심 책무로 인식하고, 전산 시스템과 정보보호체계를 재점검해 침해 발생 시 신속한 복구와 피해 구제에 대비해야 한다고 주문했다. 금감원과 금보원에는 점검결과를 철저히 관리해 사고 재발을 방지해달라고 당부했다.

뉴스부산www.newsbusan.com