“롯데카드 해킹·KT 무단결제 확산”…정부, 2차 인증 의무화 추진

롯데카드 해킹과 KT의 무단 소액결제 피해가 최근 대규모로 확산되며 국민 불안이 커지고 있다. 전문가들은 반복되는 기업 보안 사고의 구조적 허점을 지적하며, 정부가 추진 중인 2차 인증 의무화의 효과와 실질적 소비자 보상 대책에 이목이 쏠린다고 분석했다. 관련 제도의 현실화 여부가 향후 금융·통신시장 규범에 직결될 전망이다.

17일 금융당국과 카드업계에 따르면, 롯데카드는 해킹 피해 정보 유출 규모와 피해자 수 조사가 막바지 단계에 접어들었다. 애초 보고된 유출 데이터는 1.70기가바이트였으나, 현장 검사 결과 유출 규모가 당초 예상보다 훨씬 심각한 것으로 파악됐다. 금융당국과 카드업계 모두 “피해자 수가 수십만~수백만 명에 이를 수 있다”고 밝혔다. 조좌진 롯데카드 대표가 조만간 직접 대국민 사과와 대책을 내놓을 예정이다.

금감원이 국회에 보고한 자료에 따르면, 롯데카드는 지난달 14~15일 해킹 공격을 받아 온라인 결제 서버의 내부 파일이 유출됐다. 해당 파일에는 카드 정보 등 결제 요청 내역이 포함됐던 것으로 파악됐다. 현장 조사 결과, 약 10년 전 발견된 서버 보안 취약점이 끝내 패치되지 않아 해킹에 노출됐고, 최초 공격 이후 17일 만인 지난달 31일에야 사고가 인지된 것으로 확인됐다. 업계는 대주주인 MBK파트너스의 보안 투자 부족을 지적했고, 금융당국은 추가 조사 방침을 밝혔다.

KT의 무단 소액결제 피해도 생각보다 길고 넓게 이어졌다. 국회 과학기술정보방송통신위원회 소속 더불어민주당 황정아 의원실 자료에 따르면, 8월 5일부터 9월 3일까지 16일간 피해 고객 278명이 527건의 소액피해를 입었다. 피해 건수는 당초 언론 보도보다 한 달 앞서 시작됐고, 8월 말에는 하루 100건이 넘을 만큼 급증했다. KT는 9월 4일 언론 보도 직후에서야 이력을 재분석하고 5일 새벽 비정상 결제 차단에 나섰다. 피해 축소·은폐 논란이 불거지자 KT 측은 “초기엔 스미싱 가능성을 높게 봐 즉각 대응하지 못했다”며 신속 조치 미흡을 인정했다.

이에 정부도 휴대전화 결제의 2차 인증을 의무화하는 고시 개정을 연내 추진할 계획이다. 과학기술정보통신부는 현행 ARS, 문자, PASS 인증 이외에 비밀번호, 지문·안면 등 생체정보 인증, 간편결제 등 추가 인증 절차 도입을 예고했다. 정부는 “사이버 공격과 분실·도난에 따른 무단 결제 사고를 예방할 것”이라고 밝혔다.

잇단 사고로 기업의 책임과 보상 체계 강화 논의가 본격화된다. 대통령실은 통신·금융사 해킹 사고 반복에 대응해 ‘징벌적 과징금’ 등 강력 제재를 검토 중이다. 롯데카드는 곧 피해 고객 대상 사과와 실질적 보상 대책을, KT와 SK텔레콤 등도 보상 방안과 재발 방지책을 조만간 발표할 것으로 보인다.

롯데카드 정보 유출 규모 확대와 KT 무단 소액결제 장기화가 드러나며, 금융·통신 전반의 보안 관리와 소비자 보호 제도 실효성에 대한 사회적 관심이 집중되고 있다. 전문가들은 “조사 결과와 정부 가이드라인, 기업의 구체적 대책 추진이 제도 신뢰의 분수령이 될 것”이라며, 향후 정책 실효성에 주목해야 한다고 평가했다.