|
"고객 여러분의 소중한 정보를 관리하는 금융회사로서, 보안관리에 있어 중대한 미흡과 부족함이 있었다는 것은 어떠한 이유로도 용서될 수 없는 일이다."
1억건 개인정보가 유출됐던 2014년 1월 카드사태 당시, 해킹사고로 300만건에 달하는 개인정보 유출이 발생한 올해 9월 롯데카드 최고경영자(CEO)가 직접 내놓은 대국민 사과입니다.
11년 전의 악몽이 롯데카드에서 재현됐습니다. 2014년 카드사태는 롯데카드 뿐만 아니라 국민카드와 농협카드 등 3사에서 동시에 발생했고, 해커의 공격이 아니라 부정거래방지시스템(FDS) 개선 작업 과정에서 외부 용역업체인 KCB 직원이 USB(이동식저장장치)에 담아 고객 개인정보를 유출한 사고였습니다.
이번 롯데카드에서 발생한 정보 유출은 외부 해커의 공격으로 발생한 사고인데, 롯데카드의 미흡한 대응이 고스란히 드러났습니다.
게다가 유출된 정보도 2014년보다 훨씬 민감하고 위험한 정보가 포함됐습니다. 카드사태 당시 유출 정보는 이름과 주민번호, 휴대전화, 신용카드 번호, 카드 한도 및 이용액 정도였는데, 이번엔 카드번호와 유효기간 CVC번호 등이 포함됐습니다.
롯데카드도 전체 유출 고객 297만명 중 28만명에 대해선 부정사용으로 이어질 수 있다며 카드 재발급과 비밀번호 변경이 필요하다고 안내하고 있습니다. 하지만 900만명이 넘는 롯데카드 고객은 안심할 수 있을까요? 정보 유출에서 제외된 고객도 카드 재발급이나 회원 탈퇴를 심각하게 고민하게 될 것입니다.
조좌진 롯데카드 대표이사는 고객 피해 최소화가 우선이라며 사태 수습에 집중한다는 방침입니다. 또 이번 정보유출로 인해 부정거래가 발생하면 2차 피해까지 포함해 전액 보상한다고 약속했습니다.
하지만 정보유출 사태가 일단락되더라도 앞으로 피해 고객의 집단소송과 당국의 징계 절차가 이어질 수밖에 없는 상황입니다. 2014년 카드사태 때도 3개월 영업정지 처분에 더해 벌금이 부과됐고, 수년에 걸친 손해배상 소송으로 피해 고객 1인당 10만원의 손해배상금도 지급해야 했습니다.
이번 유출 사태로 인해 롯데카드가 책임져야 할 부담은 과거와 비교할 수 없을 것으로 보입니다. 정보 유출 피해자의 집단 소송이 제기되면 재무적으로 대규모 충당부채를 반영해야 할 것으로 보입니다. 또 과거보다 강화된 개인정보보호법으로 인해 과징금 규모도 상당할 것으로 보입니다. 앞서 개인정보 유출 사고가 발생한 SK텔레콤에 개인정보보호위원회는 1348억원에 달하는 과징금을 부과한 바 있습니다.
MBK파트너스가 롯데카드 매각을 추진하고 있는 상황에서 이번 정보유출 사고는 대형 악재임이 틀림없습니다. MBK파트너스는 희망가격으로 2조원을 기대하는 것으로 알려져 있습니다. 정보유출 사고로 기업가치가 크게 훼손된 만큼 가격을 제대로 평가받을 수 있을지 여부를 떠나, 매각이 원활하게 이뤄질 수 있을지 조차도 의문이 제기되는 상황입니다.
조좌진 대표이사는 대고객 사과와 함께 재발방지 차원에서 사임을 포함해 대대적인 인적쇄신을 하겠다고 약속했습니다. 2020년 롯데카드 CEO로 취임한 조 대표는 3연임했고, 임기는 내년 3월까지입니다.
박상훈 전 롯데카드 사장도 2014년 개인정보 유출 사고에 책임을 지고 사임을 표명했었죠. 하지만 롯데그룹은 사태 수습이 먼저라며 유임시킨 바 있죠. 조 대표 역시 사임을 언급하기 전에 고객의 피해가 최소화될 수 있도록 조치하고, 정보유출 피해에 대해선 전사적으로 고객들이 납득할 수 있는 수준의 보상 조치를 마련하는데 집중해야 할 것입니다.
