국민의힘 롯데카드 개인정보유출 간담회
MBK파트너스 정보보안 투자 미흡 책임 추궁
금융보안원 보안인증 ‘무용론’ 지적
MBK파트너스 정보보안 투자 미흡 책임 추궁
금융보안원 보안인증 ‘무용론’ 지적
 |
| 23일 오전 서울 여의도 국회에서 열린 ‘국민의힘 정무위원회, 롯데카드 개인정보 유출사태 피해자 보호 방안 및 재발방지 대책 간담회’ 현장. 권기남(왼쪽부터) 금융보안원 사이버대응본부 상무, 김동환 금융위원회 디지털금융정책관, 윤종하 MBK파트너스 부회장, 조좌진 롯데카드 대표이사, 남석 개인정보보호위원회 조사조정국장. 이상섭 기자 |
[헤럴드경제=정호원 기자] 롯데카드가 해킹 사태 후속 대책으로 5년간 1100억원 보안 투자를 내놓은 것 관련, 대주주인 MBK파트너스가 매각을 추진 중인 가운데 실현 가능성이 낮다는 지적이 국회에서 제기됐다.
23일 오전 서울 여의도 국회의사당에서 열린 ‘롯데카드 개인정보 유출사태, 피해자 보호 방안 및 재발방지 대책 간담회’에는 조좌진 롯데카드 대표와 윤종하 MBK파트너스 부회장을 비롯해 금융위원회, 금융감독원, 개인정보보호위원회, 금융보안원 관계자가 참석했다. 국회에서는 윤한홍 정무위원장, 강민국 간사, 유영하·추경호·김상훈·이헌승·이양수 의원이 자리했다.
“MBK 대응 미진하면 11월 단독 청문회 개최할 것”
당초 출석 요청을 받은 김병주 MBK 회장이 불참하고 윤종하 부회장이 대신 참석하자 의원들의 질타가 쏟아졌다. 강민국 의원은 “국감에서 MBK 김병주 회장을 증인으로 채택하겠다”며 “대책이 미흡하면 11월 여야 합의로 MBK 단독 청문회를 열겠다”고 밝혔다.
롯데카드가 지난해 정보보호 예산을 업계 최저 수준으로 줄인 사실도 도마 위에 올랐다. 김상훈 의원은 “이번 사건 터지고 MBK가 정보보호 보안 투자에 예산을 늘렸다고 하지만, 금융감독원에 따르면 전업 카드사 8곳 가운데 롯데카드의 예산 삭감 폭(15.2%)이 가장 컸다”고 지적했다.
롯데카드가 후속 조치로 5년간 정보보호 관련 1100억원을 투자하겠다는 약속에 대해서도 실현 가능성에 의문을 제기했다. 윤한홍 의원은 “롯데카드 매각 계획을 세워놓고 5년간 1100억원을 투자하겠다고 약속하겠다는 것은 국민을 우롱하는 것”이라면 “당장 팔고 나가겠다는 사람이 장기적인 정보보안 투자를 하겠다는 약속을 누가 믿겠느냐”고 꼬집었다.
윤종하MBK 파트너스 부회장은 ‘롯데카드 인수 목적이 무엇인지, 단기 차익 실현 목적인지’라는 질문에 “5년 이상의 중장기적인 투자 시각 갖고 있다”면서 “(투자자에게 엑시트 목표 시점도) 5년 정도를 항상 이야기한다”고 답했다.
“ 부정거래 피해 없다? 안일한 대응”
롯데카드 측이 고객 피해위험이 점차 해소되고 있다는 취지로 해명한 것도 비판을 불렀다. 조좌진 롯데카드 대표는 “카드재발급, 비밀번호 변경 등으로 리스크가 차단된 고객은 현재 기준 66%”라면서 “리스크가 차단돼 빠르면 이번주, 늦어도 다음주 중반까지 부정거래 최소화하는 단계는 일정부문 마무리 될 것”이라고 해명했다.
이에 유영하 의원은 “신용카드 번호와 CVC 만으로도 항공권·호텔 결제가 가능하다”고 지적했다. 김상훈 의원은 “고객 입장에서 보면 본인 개인정보가 빠져나간 것 자체가 큰 피해”라면서 “안일한 변명”이라고 꼬집었다.
윤한홍 의원은 “해킹으로 정보가 빠져나갔다고 해도 이를 보호하지 못한 롯데카드 측에 책임이 없는 것은 아니다”라면서 “롯데카드 측에서 문제가 없다고 할 것이 아니라, 금감원, 금보원 등 다른 감독기관에서 부정거래 피해가 없다고 인정해야 동의가 될 것”이라고 지적했다.
“과징금 상한 50억 한계…정부 대응도 미흡”
현행 신용정보법(신정법)에 따르면 금융위원회는 상거래기업이나 법인이 개인신용정보를 분실·도난·누출·변조·훼손한 경우 전체 매출액의 3% 이하 금액을 과징금으로 부과할 수 있다. 하지만 해킹 등 제3자의 불법적 접근으로 인한 유출은 50억원 상한이 적용된다. 이에 롯데카드 해킹 사고로 대규모 정보 유출 피해가 발생하도 과징금은 최대 50억원에 그칠 수 있다는 점이 문제로 지적되고 있다.
강민국 의원은 “신정법상 과징금 상한이 매출의 3%로 일원화된 부분도 법적 정비를 통해 개선해야 한다”면서 “또한 개인정보보호위원회의 역할은 개인정보 유출 피해가 발생한 뒤 사후적으로 과징금을 부여하는 것에만 그쳐서는 안되며 개인정보가 유출되는 것을 사전적으로 예방하기 위해 정부 차원의 대응이 미흡하지 않았는지 돌아봐야 한다”고 지적했다. 윤한홍 의원도 “SKT에 1349억원 과징금을 부과했는데 KT, 롯데카드에서 잇따라 사고가 난 것은 제도가 실효성이 없었다는 것”이라고 비판했다.
롯데카드가 해킹 이틀 전 금융보안원으로부터 ISMS-P 101개 인증 기준에 대한 심사를 받고 ‘최고보안’ 인증을 획득한 것을 두고 금융보안원을 둘러싼 비판이 이어졌다. 권기남 금융보안원 사이버대응본부 상무는“자동차가 안전점검을 받는다고해서 차 사고가 나지 않는 것은 아니다”라면서도 “인증 당시 보안패치는 인증 항목에 포함되지 않았다”고 해명했다.
