통신·금융 동시 해킹사고, 롯데카드 항변까지…정부-기업 책임 공방 격화

통신과 금융을 동시에 겨냥한 해킹사고가 잇따르면서 정부는 긴급 합동 브리핑을 열어 대응책을 발표했다. 한편 롯데카드의 주요 주주사인 MBK 파트너스는 보안 투자 소홀 지적을 정면 반박하며 항변에 나섰다.

류제명 과기정통부 제2차관은 19일 브리핑에서 KT 사건과 관련해 “불법 초소형 기지국이 KT 내부망에 접속해 고객 통신을 탈취하고 소액결제 정보를 확보한 경위를 조사 중”이라고 밝혔다. 이틀 전 경찰에 용의자가 검거된 가운데, 민관합동조사단은 KT 펨토셀 관리 실태를 점검해 일부 문제점을 시정토록 했으며, 불법 기지국 동작 방식을 확인하기 위해 테스트 환경도 구축했다.

피해 규모는 당초 278명(1억7천만 원)에서 362명(2억4천만 원)으로 확대됐다. 불법 기지국 노출 이용자는 2만30명으로 확인됐고, KT는 피해자에 대한 요금 청구를 중단하고 무상 유심 교체를 지원하고 있다. KT는 220만 명의 소액결제 고객 통화 기록 2천267만 건을 분석했으나 추가 불법 기지국 ID는 발견되지 않았다고 보고했다. 다만 외부 보안점검 과정에서 새로운 침해 정황이 드러나 정부에 신고한 상황이다.

금융권도 충격을 받았다. 권대영 금융위 부위원장은 “해커가 롯데카드 온라인 결제 서버에 침입해 당초 신고치(1.7GB)보다 큰 200GB 데이터를 유출했고, 약 297만 명의 개인신용정보가 빠져나갔다”고 밝혔다. 이 중 269만 명은 부정사용 가능성이 없고, 28만 명도 위험은 크지 않지만 일부 키인 방식 결제 취약점이 지적돼 이상거래탐지시스템(FDS)으로 차단 조치가 이뤄지고 있다.

이에 대해 롯데카드와 MBK 파트너스는 보안 투자 소홀 지적은 사실과 다르다고 반박했다. 롯데카드는 “2019년 71억4천만 원이던 보안 투자 비용을 2025년 128억 원으로 늘렸고, 같은 기간 보안 인력도 19명에서 30명으로 증원했다”며 “전체 IT 비용 대비 보안 투자 비중도 10~12%를 유지해 왔다”고 밝혔다. 또 2021년 ‘디지로카’ 전략에 따라 DR(Disaster Recovery)과 백업시스템 고도화를 추진했다고 강조했다.

MBK 파트너스 역시 “주주 변경 이후 4년간 배당 성향은 20~28%로 국내 상장사 평균 수준이며, 대형 금융지주사보다 낮다”며 “단기 수익 추구를 위해 보안을 소홀히 했다는 지적은 사실과 다르다”고 선을 그었다. 그러면서 “보안을 금융 서비스의 핵심 가치로 삼아 지속 투자하겠다”고 밝혔다.

정부는 통신·금융을 아우르는 해킹 대응 체계 강화를 약속했다. 과기정통부는 기업의 침해사고 미신고·늑장 신고 시 과태료를 강화하고, AI 기반 보안체계 고도화를 추진할 계획이다. 금융위는 금융회사 CEO 책임 확대, CISO 권한 강화, 징벌적 과징금 도입을 검토 중이다.

통신망과 금융망을 동시에 겨냥한 해킹사건이 드러나면서, 정부와 기업 간 책임 공방은 불가피해졌다. 향후 제도 개선과 보안 투자 실효성이 국민 신뢰 회복의 핵심 변수가 될 전망이다.