[뉴스웍스=손일영 기자] 297만명의 회원정보 유출로 심각한 고객 피해가 우려되는 롯데카드 해킹 사고에 금융당국의 책임론이 고개를 들고 있다. 해커의 해킹 시도 첫날 금융당국이 롯데카드에 국내 최고 수준으로 평가받는 정보보호 및 개인정보보호 관리 체계(ISMS-P) 인증을 수여했기 때문이다.

권기남 금융보안원 사이버대응본부장은 19일 해킹 대응을 위한 '과학기술정보통신부-금융위원회' 합동 브리핑을 통해 ISMS-P 인증만으로 해킹 시도를 막을 수 없다고 밝혔다.

권 본부장은 "ISMS-P 인증은 기업이 정보보호 업무를 할 준비가 됐다는 의미이지, 악성코드나 해킹에 완벽히 안심할 수 있다는 인증은 아니다"라며 "정보보호 관리 체계 인증을 받은 기업도 언제든지 해킹 피해를 입을 수 있다"고 말했다.

일각에서는 이를 두고 금융사의 보안 체계를 책임져야 할 감독 기관이 무책임한 태도를 보이고 있다고 지적한다.

롯데카드는 지난달 12일 금융보안원(FSI)로부터 ISMS-P 인증을 획득한 바 있다. 금융보안원은 금융위가 관리·감독하는 비영리 사단법인으로써 금융 보안 전문기관으로 자리매김하고 있다.

해당 보안 인증은 사이버 침해 위협 대응 역량을 비롯해 기업의 정보보호 체계와 고객의 개인정보 보호 관리체계가 적합하게 운영되는지를 심사하는 국내 공인 인증 제도다. 이는 국내 최고 수준의 관리체계 인증으로 평가받는다.

롯데카드 측은 "인증 취득에 필요한 평가 기준인 ▲관리 체계 수립 및 운영 ▲보호 대책 요구사항 ▲개인정보 처리단계 별 요구사항 등 총 3개 영역에서 101개 인증 기준에 대한 심사를 받고 이번 인증을 획득했다"고 설명한 바 있다.

다만 국내 최고 수준의 보안 인증을 받은 당일 오전 3시 43분 해커가 롯데카드 서버에 처음 침입한 것으로 알려지면서, '보안 인증'의 효용성에 대한 논란이 불거지고 있다.

이어 이번 해킹 사고는 롯데카드의 허술한 보안 관리에 따른 것으로 밝혀져, 금융보안원의 보안 인증·관리 체계의 신뢰성에 대한 의문이 제기된다.

롯데카드는 2017년 서버 보안 강화 과정에서 전체 서버 내 설치된 48개의 웹로직(Weblogic) 프로그램 중 1개의 보안패치를 누락한 것으로 파악됐다. 이에 해커가 누락된 패치를 통해 파고들어 악성코드 감염으로 200GB 규모의 고객 데이터가 유출됐다.

특히 롯데카드는 지난달 14일부터 벌어진 해킹 사실을 12일이 지난 26일에나 인지했다. 이는 금융보안원이 롯데카드의 정보보안 대응 체계를 면밀히 파악하지 못했다고 볼 수 있는 대목이다.

권대영 금융위 부위원장은 19일 브리핑에서 롯데카드와 금융당국의 선제적 보안 리스크 대응 관련 지적에 대해 "늑장대응을 하거나 감추는 일은 없었다"면서도 "확인되지 않은 사실을 너무 빨리 알리는 것도 시스템 마비 등 오히려 국민들의 과잉 불안을 조장할 수 있다"고 말했다.

업계에서는 금융보안원 ISMS-P 인증 기준 관련 근본적인 제도 개선으로 금융사의 보안 사고를 엄격히 관리할 필요성을 강조한다. 특히 ISMS-P 인증 기관에 보안시스템 관리 비용 경감 등 여러 혜택을 주는 만큼 사고 발생 시 엄정한 책임을 부과해야 한다는 목소리가 있다.

권 부위원장은 "최근 일련의 사태를 계기로 국민들이 금융회사를 신뢰할 수 있도록 보안실태에 대한 밀도 있는 점검과 함께 재발 방지를 위한 근본적 제도개선도 즉시 착수하겠다"고 밝혔다.