[FETV=임종현 기자] 조좌진 롯데카드 대표가 297만 명의 고객정보 유출 사태와 관련해 올해 말까지 본인을 포함한 조직의 인적 쇄신을 예고한 가운데 주요 임원들의 인사 방향에도 영향을 미칠 것으로 보인다.

특히 금융보안원이 지난해 두 차례에 걸쳐 웹로직 서버의 해킹 취약성을 경고했음에도 롯데카드의 대응이 미흡했던 것으로 알려지며 책임론이 확산되고 있다. 업계에서는 해킹 사고 수습이 마무리되는 대로 대표를 포함한 일부 임원 교체를 통한 조직 쇄신이 단행될 것으로 보고 있다.

과거에도 유사한 대규모 정보유출 사태가 발생했을 때 금융당국이 강도 높은 제재를 단행한 바 있어 이번 쇄신에도 영향을 미칠 가능성이 제기된다. 2014년 KB국민·롯데·NH농협카드 등 3사에서 발생한 개인정보 유출 사건 당시 금융당국은 이들에 대해 3개월 간 영업정지와 최고 임원 해임 권고 등 강도 높은 제재를 시행한 바 있다. 금융감독원은 정보 유출 사태에 직접적인 책임이 있는 롯데카드 전 정보보호최고책임자 박 모 이사에 대해 해임을 권고한 바 있다.

이번 대규모 해킹 사고는 롯데카드 전체 고객의 3분의 1에 해당하는 297만 명의 개인정보가 유출된 초유의 사태로 금융권 전반에 경각심을 불러일으켰다. 이 중 28만 명은 카드번호 및 비밀번호, 유효기간, 고유확인번호(CVC·카드 뒷면 세 자리 숫자) 등이 노출돼 카드 부정사용 피해 가능성이 있는 것으로 확인됐다.

롯데카드는 사고 이후 고객정보 보호 강화를 위한 조치를 즉각 시행, 금융 보안 수준 제고에 역량을 집중하고 있다. 고객들을 대상으로 카드 재발급 포함, 비밀번호 변경, 카드 정지·해지 등 고객 보호조치도 실시하며 부정결제 가능성을 원천 차단하고 있다.

조 대표는 이번 사건과 관련해 회사 보안 관리 미흡했던 데에서 비롯됐다고 전적으로 책임을 통감하며 어떠한 손실도 고객에게 전가하지 않겠다고 거듭 강조했다. 또한 고객정보가 악용돼 소비자 피해로 이어진 사례는 한 건도 확인된 바 없다고 단언했다.

해킹 사태의 책임론은 조 대표와 최용혁 정보보호실장(상무) 등 핵심 경영진으로 집중되는 분위기다. 조 대표는 지난 14일 정무위원회 국정감사에 증인으로 출석해 대규모 해킹 사고와 관련한 대응 부실 및 보안 투자 축소 문제 등을 놓고 여야 의원들의 질타를 받았다. 사고 이후 드러난 늦장 대응과 정보보호 인력·예산 축소 등 구조적인 관리 부실이 핵심 쟁점으로 떠올랐다.

조 대표는 지난달 24일 해킹 사고 관련 청문회에서 "고객의 소중한 신용정보를 다루는 회사로서 고객정보를 유출한 자체만으로 엄청난 실수이자 잘못"이라고 인정했다. 이해민 조국혁신당 의원이 "마지막 책무로서 사임도 고려하고 있냐"라고 묻자 "이번 사태 처리가 제 마지막 임무라고 생각한다"고 답했다.

정보보호를 총괄하는 최용혁 상무도 같은 날 청문회 증인으로 참석했다. 그는 정보보호최고책임자(CISO)로서 개인정보보호책임자(CPO)와 신용정보관리보호인(CIAP)을 겸임하며 보안 관리 체계를 총괄하고 있다. 취임 6개월도 채 되지 않아 해킹 사고가 발생하면서 책임론의 중심에 섰다.

최 상무는 숭실대 정보통신공학과를 졸업하고 고려대에서 금융정보학 석사를 취득했다. 한국금융투자협회 정보시스템부에서 정보보안을 총괄했고 카카오페이손해보험에서 정보보호실장·개인정보보호책임자·신용정보관리를 겸직한 뒤 올해 2월 롯데카드로 자리를 옮겼다.

2014년 정보 유출 사건과는 성격이 다르지만 이번 사고와 관련된 책임은 피해가기 어려울 것으로 보인다. 당시에는 외부 해킹이 아닌 신용정보업체 코리아크레딧뷰로(KCB) 직원이 2012년부터 2013년 말까지 KB국민·롯데·NH농협카드에서 1억400만 건의 개인정보를 빼낸 것이 발단이었다. 반면 이번 사건은 외부 해커의 침입으로 인한 시스템 보안 취약점이 원인으로 지목되며 관리 책임의 초점이 경영진의 보안 대응 체계로 옮겨지고 있다는 분석이다.