[이코노미스트 송현주 기자] 롯데카드에서 297만명에 달하는 고객 개인정보가 유출되면서 소비자 불안이 확산하고 있다. 늑장 대응 논란까지 겹치며 정치권의 질타가 이어지고, 피해자들의 집단 소송 움직임이 가시화되고 있다.

24일 업계에 따르면 피해자들은 네이버 카페 ‘롯데카드 개인정보유출 집단소송카페’를 통해 법무법인 도울을 선임하고 공동소송 절차에 들어갔다. 도울은 전직 법원장과 검사장이 포진한 로펌으로, 과거 SK텔레콤 개인정보 유출 사태에서도 대규모 손해배상 소송을 이끈 경험이 있다.

이번 소송에서 도울은 개인정보만 유출된 경우 1인당 30만원, 신용카드번호 등 민감한 신용정보까지 유출된 경우 50만원을 청구할 계획이다. 참가비는 1인당 2만원으로 책정됐으며, 현재까지 카페를 통해 소송 참여 의사를 밝힌 인원은 약 1700명에 달한다. 카페 회원 수는 이미 1만명을 넘어섰고, 참여자는 계속 늘어날 것으로 전망된다.

늑장 대응 논란 “보상안 실질적 효과 없어”

피해자들이 가장 문제 삼는 것은 롯데카드의 보상안이다. 회사는 ▲유출 고객 전원에 대한 10개월 무이자 할부 ▲부정사용 소지가 있는 고객의 카드 재발급 시 차년도 연회비 면제를 제시했지만, 피해자들은 이를 실질적인 보상책으로 보기 어렵다고 반발한다.

피해 고객 김모씨는 “SK텔레콤 사건만 해도 고객 이탈 방지를 위해 다양한 이벤트를 진행했는데, 10개월 무이자는 실제로 쓸 일도 거의 없다”며 “해지할 예정이라 연회비 면제도 무의미하다”고 지적했다. 또 다른 피해자는 “해지를 시도해도 상담원 연결을 회피하며 어렵게 만들고, 고객센터 연결조차 원활하지 않다”며 불편을 호소했다.

이처럼 보상책의 실효성에 대한 불만이 고조되는 가운데, 국회에서는 사고의 원인과 책임 소재를 두고 강도 높은 추궁이 이어졌다.

지난 24일 국회 과학기술정보방송통신위원회 청문회에 출석한 조좌진 롯데카드 대표는 유출 경위와 대응 과정을 설명하며 의원들의 질의에 직면했다. 조 대표는 “2017년 온라인 결제 서버 내 업그레이드되지 않은 웹로직(WebLogic) 1개를 통해 악성코드가 침입했다”고 밝혔다.

박정훈 국민의힘 의원은 “297만명의 주민등록번호, 카드번호, 비밀번호, CVC 등이 유출됐는데 악성코드 침투조차 파악하지 못한 것 아니냐”고 질타했다. 이에 조 대표는 “웹쉘 탐지 체계를 갖췄지만 공격자가 탐지되지 않는 영역에 웹쉘을 설치해 확인하지 못했다”고 해명했다.

늑장 대응 논란도 도마 위에 올랐다. 조 대표는 “현행 전자금융법상 ‘침해 행위’와 ‘침해 사고’를 구분하고 있어 악성코드 탐지 사실만으로는 금융당국에 신고할 수 없었다”고 답했으나, 정치권은 “신고 의무를 회피한 것 아니냐”며 반발했다. 강민국 의원은 “피해자 대책이 미흡하다면 추가 청문회를 열어 책임을 규명하겠다”고 밝혔다.

이번 사태는 롯데카드의 대주주인 MBK파트너스 책임론으로도 번지고 있다. 2019년 롯데카드를 인수한 MBK는 비용 효율화 중심의 경영을 추진해왔는데, 그 과정에서 보안·전산 투자에 소홀했다는 비판이 나온다. 금융권 한 관계자는 “투자자 수익 논리에 치중하다 보니 금융사 본연의 책무인 소비자 보호가 뒷전으로 밀린 결과”라고 지적했다.

1인당 최대 50만원 청구...전체 수천억원에 달할 듯

법무법인 도울은 피해자 1인당 최대 50만원을 청구할 방침이어서 전체 배상 청구액은 수천억원에 달할 것으로 보인다. 실제 배상 여부와 규모는 법원의 판단에 달려 있지만, 금융권 전반의 보안·배상 관행을 뒤흔들 수 있는 중대 사건이라는 데에는 이견이 없다.

법적 공방 장기화도 불가피할 전망이다. 추가 청문회와 금융당국의 조사가 예고되고 있어서다. 이번 롯데카드 사태는 10월에 진행되는 국정감사에서도 다뤄질 예정이다. 정무위원회에서는 김병주 MBK파트너스 회장을 국감 증인으로 출석시키고, 대주주의 책임론을 집중 추궁한다는 방침이다. 재발방지 대책 수행이 미흡할 경우 단독 청문회까지도 고려하고 있다.

금융당국도 긴급 점검에 착수했다. 금융위원회와 금융감독원은 카드사 전산·보안 체계 전반을 검토하고 있으며, 개인정보 보호 의무를 강화하는 제도 개선안도 논의 중이다.

전문가들도 금융사의 보안 투자와 책임 구조를 강화하는 제도적 전환이 필요하다고 강조한다.

김승주 고려대 정보보호대학원 교수는 “롯데카드가 초기에 민감한 정보가 암호화돼 있다고 해명했다가 뒤늦게 암호화되지 않은 상태로 유출됐음을 인정했다”며 “자산 현황조차 제대로 파악하지 못한 채 보안 체계를 운영해 온 것”이라고 지적했다. 이어 “최근 빈번하게 발생하는 해킹·정보유출 사고를 고려하면 개별 금융사 차원을 넘어 국가적 차원의 보안 관리 체계 재정비가 불가피하다”고 강조했다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지