금융당국이 최근 5년간 롯데카드를 11차례 검사했지만 해킹이나 전산장애 등 보안 관련 항목을 한 번도 점검하지 않은 것으로 드러났다.

국회 정무위원회 소속 국민의힘 강민국 의원이 13일 금융감독원에서 제출받은 자료에 따르면, 2019년부터 올해 8월까지 전업카드사 8곳에 대한 금감원의 정기·수시검사는 총 67회였으며, 이 가운데 롯데카드가 11회로 가장 많았다.

그러나 해킹·보안 취약점 점검은 단 한 차례도 포함되지 않았다.

특히 롯데카드의 수시검사는 영업관행이나 회원 모집, 제휴 서비스 점검 등에 집중돼 있었다.

강민국 의원은 “보안검사 누락은 명백한 직무유기”라며 “이번 롯데카드 해킹 사태를 계기로 카드업권 전체에 대한 전면 점검이 필요하다”고 지적했다.

[미니해설]  "보안 점검 한 번도 안 했다"…롯데카드 해킹, 금융당국 감독 부실 논란

297만명의 개인정보가 유출된 롯데카드 해킹 사고의 후폭풍이 금융당국으로 번지고 있다. 카드사가 오라클 웹로직 서버의 취약점을 8년간 방치해온 사실이 드러난 가운데, 금융감독원이 단 한 차례도 보안 관련 검사를 실시하지 않았다는 사실이 확인되면서 감독 부실 비판이 거세지고 있다.

국회 정무위원회 소속 강민국 의원이 금감원에서 제출받은 '전업카드사 정기·수시검사 내역'에 따르면, 2019년부터 지난 8월까지 카드사들에 대한 검사는 총 67회였다. 이 중 정기검사는 7회, 수시검사는 60회로 집계됐다.

카드사별로는 롯데카드가 11회로 가장 많았고, 국민·우리카드 각 10회, 현대카드 9회, 신한·하나카드 각 8회, 삼성카드 7회, BC카드 4회 순이었다.

"금융감독원 감독 부실" 지적

하지만 금감원이 밝힌 검사 목적에는 '해킹'이나 '전산보안' 관련 항목이 한 번도 포함되지 않았다. 롯데카드에 대한 10차례 수시검사도 모두 '업관행 점검', '회원 모집 실태', '제휴 서비스 처리의 적정성' 등 영업행태 중심이었다.

2022년 6월~7월 진행된 정기검사에서도 감사위원 선임절차 위반과 금융거래 비밀보장 위반만 제재 대상으로 다뤘을 뿐, 보안 리스크는 아예 언급되지 않았다.

이 결과 금융당국은 '경영 리스크 관리'에는 엄격하면서도, 고객정보 보호의 핵심인 보안 시스템 점검에는 손을 놓고 있었다는 지적이 제기된다.

롯데카드의 해킹은 이미 2017년에 알려진 오라클 웹로직 서버의 보안 취약점이 지난 8년간 방치된 것이 직접적인 원인으로 지목됐다. 

강민국 의원은 "보안검사를 하지 않은 것은 명백한 직무유기"며 " 잃고 외양간 고치는 격이지만, 금감원은 지금이라도 롯데카드 점검을 카드업권 전체로 확대해야 한다" 강조했다. 그는 또 “이번 사태의 책임이 명확히 규명되면 영업정지나 징벌적 과징금 등 강도 높은 조치가 불가피하다”고 말했다.

전문가들은 이번 사태가 단순히 한 기업의 관리 부실을 넘어, 금융당국의 감독 체계 자체가 영업 중심으로 기울어져 있음을 보여주는 신호라고 지적한다.

최근 카드사들은 간편결제, 마이데이터, 오픈뱅킹 등 디지털 금융 서비스 비중이 커지면서 해킹 위험이 급증하고 있지만, 당국의 검사 항목은 여전히 전통적인 '영업행태'와 '소비자 민원 처리'에 집중돼 있다.

금융권 관계자는 "고객 정보 보호는 단순 기술 문제가 아니라 금융 신뢰의 핵심"라며 "금감원이 실적 중심의 피상적 검사에서 벗어나 정보보호 역량을 중심으로 검사 체계를 재편해야 한다" 말했다.

롯데카드 사태는 단순한 해킹 사건이 아니라, 한국 금융 시스템의 '보안 사각지대' 드러낸 경고음이다. 

이번 사건을 계기로 금융당국이 감독의 초점을 '규제'에서 '위험관리'로 전환할 수 있을지가 향후 금융보안 체계 개편의 시험대가 되고 있다.

롯데카드 "민감정보 유출 82% 보호조치"

한편, 롯데카드는 해킹 사고로 민감정보가 유출돼 부정 사용 피해 우려가 있는 고객 28만명 중 약 23만명(82%)에 대해 카드 재발급, 비밀번호 변경, 카드 정지 및 해지 등의 보호 조치를 완료했다고 13일 밝혔다.

이 가운데 약 22만명이 카드 재발급을 신청했으며, 일부 특수카드를 제외하고는 발급이 완료됐다. 보호조치가 이뤄지지 않은 약 5만명에게는 지속적으로 재발급을 안내할 계획이며, 오는 15일부터는 해당 카드의 온라인 결제가 제한된다.

롯데카드는 고객정보가 유출된 전체 297만명 중 약 146만명(49%)에 대한 보호조치를 마쳤다고 설명했다.

정보 유출 고객 중 약 77만8천명이 카드를 새로 발급받았으며, 비밀번호 변경은 약 92만명, 카드 정지는 약 18만명 수준이다. 카드 해지는 약 5만6천명, 회원 탈회는 약 3만명으로 집계됐다.

해킹 사고 사실이 알려진 지난달 1일부터 전날까지 전체 재발급 신청 건수는 약 121만건으로, 이 중 119만건(98%)이 처리됐다.

롯데카드는 "공카드 물량이 확보되면서 일부 특수카드를 제외하고는 신청 즉시 재발급이 가능해졌다"고 밝혔다.

아울러 이번 해킹 사고로 인한 부정 사용 시도나 실제 피해 사례는 아직 확인되지 않았으며, 민감정보가 유출되지 않은 고객의 경우 부정 사용 가능성은 없다고 덧붙였다.