“카드 비밀번호까지”…롯데카드 297만명 정보 유출, 개인정보 규제 시험대

최근 롯데카드 고객 정보 유출 사태로 개인정보보호와 금융 IT 보안 문제가 IT·금융 산업 전반의 패러다임을 뒤흔들고 있다. 공격자는 카드 비밀번호·CVC 등 민감정보까지 대량 탈취하면서, 산업 내 데이터 관리 체계와 소비자 보호 수준이 도마에 올랐다. 당국은 금융감독원이 19일 롯데카드로부터 개인신용정보 유출 신고를 접수해 개인정보보호위원회(개인정보위)에 이를 공식 통보함에 따라, 22일자로 전방위 조사에 착수했다고 밝혔다. 업계는 이번 사태를 ‘금융보안 신뢰성 위기’의 분수령으로 주목하고 있다.

이번 유출 사고에서 해킹된 고객 정보는 카드 비밀번호, 뒷면 CVC 번호 등 고위험 개인정보가 대거 포함된 200GB 규모다. 피해 고객은 약 297만 명으로 추산되며, 이는 국내 신용카드 산업에서도 유례없는 대형 사고로 기록될 전망이다. 특히 민감정보가 동시 유출된 정황이 확인돼 신용 사기 등 2차 피해 가능성도 우려되는 상황이다.

기술적으로 이번 사고는 카드사 IT 시스템의 취약점을 노린 비인가 접근 방식이 주요 원인으로 꼽힌다. 금융·개인정보가 단일 채널로 대량 유출된 사례는 보안 관리와 이상 탐지 체계의 구멍을 드러낸 것으로 평가된다. 개인정보위는 이번 조사에서 신용정보 외에도 일반 개인정보(예: 연락처, 주소 등) 유출 여부와 개인정보보호법 위반 가능성까지 세밀히 들여다볼 계획이다. 유출된 데이터의 암호화·분산저장 수준, 내부 접속 통제 정책 등이 중점 점검 대상에 포함됐다.

실제 신용카드 정보 유출은 온라인 금융결제·간편결제 등 디지털 금융 생태계의 신뢰 기반 전체를 위협할 수 있다. 최근 OTP, 이중 인증 등 보안 강화 장치가 확대된 가운데, 고도화된 해킹 수법이 나타나면서 소비자 자산 보호 정책에 대한 경계도 높아졌다. 과거에도 글로벌 신용카드사와 금융기관을 겨냥한 해킹 사고는 반복됐으나, 이번처럼 카드사 자체가 관리하는 암호·CVC까지 한꺼번에 유출된 전례는 극히 드물다. 미국·유럽 등 주요국은 금융 정보 암호화 및 실시간 탐지 시스템을 의무화하며, 해킹 방지 기술과 사고 후 신속 대응 체계 구축에 속도를 내고 있다.

규제·제도 측면에서도 정보 유출 발생 시 금융위원회·금융감독원 등 금융당국이 먼저 사실을 파악하고, 개인정보위와 협조해 면밀히 조사하는 것이 표준 절차로 자리잡았다. 개인정보위는 이번 조사 결과에 따라 제재 조치뿐 아니라, 전 금융권 데이터 보안 및 내부통제 강화 권고까지 내놓을 가능성도 배제할 수 없다. 향후 데이터 암호화 요건과 유출 신고·피해자 통지 의무 강화 등 제도 개선 논의가 가속화될 전망이다.

전문가들은 “카드사 뿐 아니라 모든 금융·IT 기업이 클라우드 기반 보안, AI 탐지 시스템 등 차세대 통합 보호 전략으로 전환을 서둘러야 할 것”이라며 “구체적 위기 대응 매뉴얼과 기관간 공조체계 마련이 필수”라고 분석한다. 산업계는 이번 대규모 데이터 유출 사태가 금융 및 IT 기업 전반에 보안 혁신을 촉진할 계기가 될지 주시하고 있다.