[비즈니스포스트] 조좌진 롯데카드 대표이사 사장이 21일 열리는 이사회에서 해킹 사태 책임을 지고 조기 퇴임한다.

롯데카드가 8월26일 일부 서버 악성코드 감염을 확인한 지 약 3개월, 조 사장이 9월18일 인적 쇄신을 포함한 사태 수습을 공개 약속한 지 약 2개월 만이다.
 

조 사장의 사임은 사내 게시판에 글을 올리면서 알려졌다. 조 사장이 올린 글 제목은 이렇다.

‘대표이사로서 마지막 책임을 지겠습니다.’

조 사장은 이번 해킹 사태 초기부터 CEO가 가장 큰 책임을 져야한다고 강조했다. 그런 조 사장이 사임을 하는 만큼 해킹 사태와 관련한 1차 수습은 일단락된 것으로 여겨진다.

이번 롯데카드 사태는 초유의 해킹 사태로 평가된다. 297만 명의 고객 정보가 털리고 200기가바이트(GB) 규모의 데이터가 유출됐다.

정부는 이런 사태가 다시는 반복돼서는 안 된다며 롯데카드를 향한 강한 제재를 강조했다. 이억원 금융위원장은 ‘한 명을 벌해 백 명의 경계심을 높인다’는 ‘일벌백계’를 언급하며 금융업계 전반의 경각심을 높였다.

하지만 한편으로 이런 의문도 든다.

‘일벌백계를 통해 해킹 사고를 막을 수 있을까’ ‘만약 롯데카드가 이번 사태로 문을 닫는다면 금융권 해킹 사고가 근절될 수 있을까’ 하는 의구심이다.

어쩌면 디지털시대 해킹은 ‘상수’일지도 모른다. 아무리 대비를 잘 한다 해도 뚫릴 수 있다는 얘기다.

이번 롯데카드 해킹 사태와 관련해 카드업계에서 ‘그럴 줄 알았다’는 반응은 없다. 8개 전업카드사 가운데 최근 5년 동안 정보보호 예산을 가장 많이 늘린 현대카드 정태영 부회장의 발언도 이를 잘 보여준다.

그는 롯데카드 해킹 사태 이후 진행한 언론 인터뷰에서 이렇게 말했다.

“남의 일이 아니다.”

디지털 침해는 날로 교묘해지고 있다. 해커의 전술이 빠르게 진화해 원인 파악이 어려울 때도, 해킹 사실조차 알아채기 힘들 때도 있다.

해킹 시도도 크게 늘었다.

금융보안원이 롯데카드 사태 이후 국회에 제출한 자료에 따르면 최근 5년 동안 해킹 시도에 대한 일평균 대응 건수는 2021년 6909건에서 2025년 8월 말 11만4288건으로 17배 가까이 증가했다.

언제든 해킹 사고가 일어날 수 있다는 점을 고려하면 일벌백계를 통해 국민의 데이터를 지키겠다는 생각은 안이한 접근처럼 다가온다.

올해 해킹 사태로 곤혹을 겪은 곳들의 사후 대처를 보면 해킹 사고 피해를 줄이기 위한 실마리를 조금은 얻을 수 있지 않을까, 싶다.

올해 해킹을 당했다고 알려진 곳은 롯데카드뿐이 아니다. SK텔레콤, KT 등 통신사도 뚫렸다.
 

굳이 ‘올해 해킹을 당했다고 알려진 곳’이라는 표현을 쓴 이유는 롯데카드를 제외한 통신사는 2025년 이전에도 해킹을 지속해서 당하다가 이번에 문제가 터졌기 때문이다.

롯데카드와 통신사는 이처럼 해킹 인지 이후 대응책이 달랐다.

해킹 정황을 발견한 직후 유관기관에 신고해 피해 확산을 차단한 곳이 있는가 하면, 문제 인지 후 자체처리를 시도하며 1년 이상 신고 지연과 은폐 의혹을 받는 곳이 있다.

CEO가 해킹 사태에 최종 책임을 지고 떠나는 곳이 있는가 하면, 연말 인사에서 계열사를 옮겨 또 다시 중용되는 곳도 있다.

해킹이 상수라면 사후 대응을 투명하게 이끌어낼 수 있는 방안에 대한 논의도 필요할 때다.

일벌백계만 강조하고 투명한 사후 대응에 인센티브가 없다면, 어차피 해킹을 당한 마당에 자체 백신을 돌려 상황을 모면하려는 은폐의 유혹은 커질 수밖에 없다.

이런 상황에서 개인정보보호위원회가 제도개선 태스크포스(TF)를 통해 ‘자발적 신고’에 대한 인센티브 마련을 검토하는 것은 반가운 일이다.

개인정보보호위원회는 10월 ‘제재의 실효성 강화 및 예방적 투자 확대 유도를 위한 제도개선 TF 운영’을 알리는 보도자료에서 “사고가 발생한 경우 엄정 제재하되 기업의 자발적 개인정보 보호 향상 유도를 병행하기 위해 자발적 신고(자진신고) 등에 대한 인센티브(과징금 감경요소 반영) 강화 방안을 모색하겠다”고 말했다.

해킹 수습도 결국 그 안에 있는 사람이 하는 일이다. 채찍은 채찍대로 강화하되 투명한 사태 수습과 재발방지를 위한 당근도 필요하다. 이한재 기자