“회원 960만명 해킹 우려”…롯데카드·통신사 보안 ‘비상’

960만명 회원 정보를 보유한 롯데카드에서 해킹 피해 규모가 당초 알려진 것보다 커질 수 있다는 관측이 나오며, 정부가 사이버 침해 신고 이후에야 조사하는 현 체계의 개선을 예고했다. 동시에 SK텔레콤 고객 정보 유출설이 해커조직을 통해 불거졌으나 SK텔레콤은 이를 전면 부인했으며, KT 이용자를 대상으로 한 무단 소액결제 피해도 확산되고 있다. 최근 10년간 국가 연구기관들에 대한 해킹 시도가 수천 건에 이르는 것으로 집계되는 등 국내 정보보안에 대한 우려가 커지고 있다.

금융권에 따르면 17일 현재 금융당국과 롯데카드는 사고 피해 규모 확인 절차를 진행 중이며, 조만간 최종 유출 규모와 피해 대책을 공식 발표할 예정이다. 금융감독원 등 현장조사 과정에서 최초 롯데카드의 자체 보고(1.7GB 유출)보다 실질 피해가 더 클 수 있다는 분석이 제기됐다. 금감원은 “카드 정보 등 결제 요청 내역이 대규모 유출됐을 가능성까지 검토한다”고 밝혔다. 조좌진 롯데카드 대표가 이르면 이번 주 중 직접 사과에 나설 예정이며, 피해 규모에 따라 수백만 명 피해 가능성도 점쳐진다.

정부도 신고에만 의존하는 사고 조사 구조의 한계 지적에 대응해, 직권 조사 확대 등 체계를 전면 손질할 뜻을 밝혔다. 배경훈 과학기술정보통신부 장관은 "현행 신고 후 조사 방식 문제점을 개선하겠다"며 국회·업계와 법·제도 논의에 착수했다고 밝혔다. 과기정통부는 정보보호 대응 태스크포스(TF)를 운영, 통신·IT기업의 보안 체계 재설계와 중소기업 지원 방안도 마련 중이라고 설명했다.

SK텔레콤의 고객 데이터 유출 주장에 대해선, 자칭 ‘스캐터드 랩서스(Scattered Lapsus＄)’ 해커조직이 텔레그램을 통해 100GB 판매설까지 띄웠으나, 회사 측은 “근거 없는 허위 주장”이라며 해커가 제시한 샘플 데이터·웹 화면이 실제 존재하지 않는다고 해명했다. SK텔레콤은 경찰 수사를 의뢰했고, 과기정통부와 한국인터넷진흥원(KISA)은 사실관계 확인을 위한 자료 제출과 현장 점검에 들어갔다. 일각에서는 유명 해커그룹의 이름을 빌린 ‘가짜 협박’일 수 있다는 의견도 단, 공식 조사가 이어진다.

KT의 경우, 경기남부경찰청이 집계한 휴대폰 무단 소액결제 피해가 199명 1억2600만원으로 확인됐다. 피해는 광명·금천 등 수도권에서 집중 발생하고 있으며, 경찰은 디지털 포렌식 등 정밀 수사와 함께 펨토셀(초소형 불법 기지국) 개입 의혹까지 점검하고 있다. KT는 2013년부터 펨토셀을 상용화했으나 이번 사례는 새로운 수법일 수 있어, 정부도 긴급추적에 나섰다.

국회 과방위 소속 더불어민주당 이정헌 의원이 확보한 자료에 따르면, 2016년부터 2025년 8월까지 국가과학기술연구회(NST) 및 산하 연구소 23곳을 대상으로 해킹 시도가 2776건 발생하는 등, 국가 첨단기술 보호에 대한 경계도 커졌다. 한국전자통신연구원이 528건 등 전자·화학·생명공학계 기관이 집중 공격받았다. 북한 해킹조직의 기술 탈취 시도도 있었다는 점이 함께 지적됐다.

이런 흐름에 이재명 대통령은 “통신·금융 보안사고 반복 기업엔 징벌적 과징금 등 강력 대응 방안을 마련하라”고 지시했다. 금융감독원 역시 “단기 실적보다 정보보호 장기 투자가 중요하다”고 강조하며 업계에 경고를 보냈다. 일부에선 롯데카드의 최대주주인 사모펀드가 수익 극대화를 위해 보안 투자가 소홀했다는 비판, 관련 책임론이 공론화되는 분위기다.

이번 롯데카드 해킹, SKT·KT 보안 논란, 연구기관 공격 등 연쇄적인 침해 사고로 당국의 구조적 제도 보완과 업계의 책임 있는 보안 투자가 절실하다는 지적이 이어진다. 경찰과 금융·정보기관은 정확한 사고 경위와 추가 피해 여부를 계속 조사할 방침이다.