[뉴스웍스=박광하 기자] 롯데카드가 2017년부터 8년간 방치한 웹로직 보안패치 누락 탓에 297만명의 개인정보가 유출된 사실이 24일 국정감사에서 집중 지적을 받았다.

조좌진 롯데카드 대표는 이날 국회 과학기술정보방송통신위원회 'KT·롯데카드 대규모 해킹사고 및 소비자 피해 청문회'에 출석해 "2017년 오라클 웹로직 48개 프로그램 중 하나의 보안패치를 놓쳤다"고 시인했다. 해당 서버를 관리하던 해외 소규모 결제업체의 담당자가 패치 작업을 누락했다는 해명이다.

최수진 국민의힘 의원은 "롯데카드가 보름 이상 해킹 피해를 인지 못한 이유가 뭐냐"고 추궁했다. 조 대표는 "웹 침입탐지 시스템이 주로 웹사이트 공격만 파악하는 시점이 있었다"며 "2017년 업그레이드됐어야 하는 웹로직에 대한 패치 (미실시)가 가장 중요한 원인"이라고 답했다. 해킹으로 주민등록번호, 카드번호, CVC(카드 뒷면 3자리 번호) 등이 유출된 고객은 297만명에 달한다.

이해민 조국혁신당 의원은 "보안 관리는 전체 시스템에서 가장 취약한 부분을 기준으로 해야 한다"며 "아무리 다른 시스템의 보안 레벨이 높아도 가장 낮은 곳이 있으면 전체가 낮아진다"고 지적했다. 이어 "7월에 ISMS-P 인증을 받은 곳에서 어떻게 이런 일이 일어났느냐"며 "국가 인증 체계가 기업에게 면죄부를 주는 과정"이라고 비판했다.

MBK파트너스의 보안투자 소홀 문제도 도마에 올랐다. 이정헌 민주당 의원은 "올해 정보보호 예산 편성액이 128억원으로 지난해 151억원보다 15.2% 감소했다"고 지적했다. 실제 투자액도 지난해 117억원에 그쳤다. 윤종하 MBK파트너스 부회장은 "사모펀드가 보안투자를 소홀히 했다는 지적을 받아들인다"며 "향후 5년간 1100억원을 정보보안에 투자하겠다"고 약속했다.

박상원 금융보안원장은 "롯데카드가 취약점 패치를 놓친 것 같다"며 "최근 해커들은 침입 후 흔적을 삭제하기 때문에 침입 경로 파악이 어려운데, 이번 경우는 흔적을 밝히기 쉬웠다"고 설명했다.

카드 모집인들의 피해 우려도 제기됐다. 조인철 민주당 의원은 "모집인들이 (롯데카드 고객정보 유출로) 영업이 어려워 생계가 곤란할 정도가 됐다는 제보를 받았다"며 "모집인 보호 대책도 강구해야 한다"고 요구했다. 조 대표는 "진심으로 대책을 강구하겠다"고 답했다.

롯데카드가 발표한 고객 보상책인 '카드 알림서비스 무료 제공(월 550원), 차년도 연회비 면제, 10개월 무이자 서비스' 등이 고객 정보 가치에 비해 미흡하다는 지적도 나왔다. 생색내기 수준이라는 비판이다. 최민희 과방위원장은 "1100억원 규모 보안투자 약속을 전 국민 앞에서 했으니 꼭 지켜라"며 "언발에 오줌 누기라고 하더라도 투자해서 보안시설을 강화하라"고 당부했다.