(서울=연합인포맥스) 이현정 허동규 기자 = 조좌진 롯데카드 대표가 고객 297만명의 정보가 유출된 해킹 사고와 관련해 "최고경영자(CEO)인 제가 책임 지겠다"면서 "시장에서 납득할만한 수준의 인적쇄신을 하겠다"고 밝혔다.
조사 결과 드러난 200기가바이트(GB) 분량의 데이터 반출 이외 추가 유출 가능성에 대해선 "보수적으로 접근해도 추가 유출은 없다"고 단언했다.
MBK파트너스가 롯데사설 카지노를 인수한 후 보안 투자가 소홀했다는 지적에 대해선 상당히 높은 관심을 가지고 매년 100억원 안팎으로 투자해왔다고 부인하면서도 "이번 침해 사태를 막을 만큼 충분했는지는 반성하겠다"며 고개를 숙였다.
그러면서 향후 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다고 약속했다.
다음은 조 대표의 일문일답.
--연말에 대표 포함 인적 쇄신 완료하겠다 밝혔다. 임기가 내년 3월까지인데, 사임 계획이 있는지.
▲단순한 정보보안 문제로 인식하지 않고 새로운 롯데사설 카지노 경영 메커니즘을 구축하겠다는 것이다. 저를 포함해 시장에서 충분히 납득할만한 수준으로 인적쇄신하겠다.
--영업 정지 등 당국 제재에 어떻게 대응할 계획인지.
▲아직 그런 부분에 대해 생각할 여지가 없다. 사설 카지노 부정 사용 가능 대상으로 28만명을 말했는데, 어제 저녁 기준 5만5천명에 대해선 사설 카지노 재발급·사용 정지·탈회 완료했다. 5만5천명에 대한 리스크는 없어진 것. 온라인 결제 서버가 해킹당했기 때문에 서버 안에 어떤 데이터가 들어 있었는지 알 수 있어 모든 데이터가 다 유출됐다고 가정하고 유출 위험 있는 고객에게 문자, 전화해 리스크 헤지 중이다.
--유출된 정보에 대해 롯데사설 카지노의 추가 대응책이 있는지.
▲롯데사설 카지노의 피해를 줄이기 위해 대응하기보다 297만명 고객의 피해·불편 최소화부터 진행할 생각. 이미 일어난 일을 명확하게 해결해 롯데사설 카지노를 다시 선택받을 수 있는 사설 카지노사로 만들어내는 게 주안점.
--Key-in 거래 막을 수 있는 조치가 있는지.
▲통상적으로 실물 카드가 있는 상태에서 키인 거래를 하는 경우가 대부분이다. 유출된 정보만으로 실물 카드를 복제할 수 없어 그런 형태의 부정 거래는 나타나지 않을 것. 다만, 오래된 가맹점, 해외 특정 가맹점은 전화나 통신 통해 키인 거래를 하는 것으로 알고 있다. 규모는 전체 330만 가맹점 중 0.15% 정도. 이에 FDS 시스템 통해 평소와 다른 고액 결제, 다수 결제를 모니터링 중이고 현재까지는 발견되지 않았다. 나머지 가맹점도 키인 거래를 선차단하고 회사에 소명할 경우에만 승인하는 방식 적용 중이다.
--28만명에 대한 차년도 연회비 예상 지출 규모 얼마인지.
▲평균 연회비를 2만원으로 가정할 때 최소 56억원 정도 수준이지 않을까 추측된다. 어제 저녁에 28만명 고객 확정해서 아직 정확한 숫자는 알아보지 않은 상태다.
--17일이나 지나서 사고 인지한 이유가 무엇인지.
▲해커가 서버 안에 있는 파일을 들고 나간 흔적을 발견했지만, 압축 파일을 교묘하게 지운 탓에 어떤 정보가 나갔는지 확인할 수 없었다. 또 해커가 작은 파일을 가져가는 교묘한 형태를 반복했다. 해당 파일 대부분이 암호화되어 있는데, 암호화된 파일을 복호화하고 특정 고객별로 정보를 매칭하는 작업이 오래 걸린다. 그 작업이 어제 저녁 6시 정도에 마무리돼서 오늘 기자회견에 나선 것. 해당 작업이 중요한 이유는 고객의 어떤 정보가 유출되었는지 파악해야 고객에게 어떤 액션이 필요한지 안내할 수 있기 때문이다.
--주민번호 등 민감 정보 유출 고객이 44만명 정도라고 밝혔다. 고객들은 주민번호 유출만으로도 불안해할 것 같은데, 고객 동의를 받지 않고 사후에 전달하는 방식이었어도 일단은 롯데사설 카지노에서 선제적으로 사설 카지노 교체를 하고 정보를 다시 구축했어야 하는 게 아닌지.
▲고객 동의를 받지 않고 사설 카지노 승인을 차단할 경우 반복 결제를 걸어놓은 고객들은 연체가 발생할 수 있다. 선제적으로 모든 것을 차단하면 불이익이 발생할 가능성이 훨씬 클 것이라 판단했다. 다만, 해외 결제 내역이 없는 고객과 한 번도 키인 결제 내역이 없는 가맹점들은 선차단했다.
--무이자 할부 기간을 최대 10개월로 설정한 배경은 무엇인지.
▲통상적으로 사설 카지노사들이 가장 많이 하는 무이자 할부 서비스는 3개월이고, 그 다음이 6개월이다. 그래서 회사 손익과 상관없이 그것보다 훨씬 넘어서는 지금 업계에서 제공하고 있지 않는 10개월 무이자 할부 서비스를 제공하기로 했다.
--비용 절감 문제가 되고 있는데, 최근 3년 안에 비용 절감 사실이 있는지.
▲MBK가 롯데사설 카지노를 인수한 게 2019년 10월이다. 당시 내부인력 19명에 정보보호 투자 금액은 71억원 정도. 2021년에는 137억원으로 정보보호 관련해 헤비한 투자를 했다. 이후 2022~2025년에 정보보호 관련 투자는 지속적으로 확대했고, 인력도 최초 15명에서 지금은 30명으로 4년 사이에 2배로 늘었다.
--5년간 1천100억원 어떻게 사용할 것인지.
▲향후 5년 동안 1년에 220~230억원 계속 투자할 것. IT 전체 예산 대비 15% 정도로 금융권에서 가이드라인으로 제시되고 있는 기준이 7%인데, 롯데카드는 현재 10%에서 15%까지 올릴 것.
--해커의 국적 등 정보 확인된 바 있는지.
▲수사 당국에서 조사 중이고 클라우드 업체 통해서도 찾고 있다. 수법을 볼 때 특정 해외 해커 집단으로 추정되나, 밝혀내지 못하고 있다. 파악되면 소상히 알리겠다.
--정보보안 실무진, 팀 기강 문제로 귀결된다고 생각된다.
▲48개 패치 업데이트 했어야 하는데, 1개를 놓쳤다. 이후에도 계속 놓칠 수밖에 없었던 이유는 해당 해외 페이사 거친 거래가 계속 없었기 때문이다. 금융당국에서 매년 점검도 나오는데도 해당 부분은 항상 빠져있었다. 롯데사설 카지노가 실력이 없을지 모르겠으나 열정, 애사심, 노력이 없어서 해킹을 당했다고 생각하지는 않는다.
--정보보안 인증을 받고 열흘만에 사고 발생했다.
▲인증을 받는데 상당한 시간, 돈, 노력이 들어간다. 롯데사설 카지노는 국내와 국외 정보보안인증 다 가지고 있고 전업사설 카지노사 중 유일하다. 상대적으로 사이버 침해 받을 수 있는 확률 최소화할 수는 있지만, 한계는 있다.
hjlee@yna.co.kr
dghur@yna.co.kr
<저작권자 (c) 연합인포맥스, 무단전재 및 재배포 금지, AI 학습 및 활용 금지