[딜사이트 강울 기자] 롯데카드가 내부통제 강화와 보안 체계 고도화를 이어왔지만 최근 발생한 해킹 사고로 실효성에 의문이 제기되고 있다. 카드사 최초로 이사회 산하 내부통제위원회를 설치하며 선도적 행보를 보였지만, 실제 외부 공격 앞에서는 취약성이 드러났다는 평가다.

3일 강민국 국민의힘 의원실에 따르면 롯데카드의 해킹은 지난달 14일 처음 발생했으며, 이튿날까지 이틀 동안 약 1.7기가바이트(GB)의 데이터가 유출됐다. 그러나 롯데카드가 이를 인지한 시점은 같은 달 31일로, 최초 해킹 발생 후 17일이 지나서였다.

주목할 부분은 국내 카드사 중 내부통제 강화에 앞장선 곳이 롯데카드였다는 점이다. 2023년 100억원대 횡령 사고를 계기로 내부통제 체계를 전면 손질했고, 지난해 8월에는 업계 최초로 이사회 내 '내부통제위원회'를 신설했다. 정보보호책임자(CISO)가 내부통제위원회에 직접 참여해 보안 현안을 보고하는 구조도 갖췄다.

또한 2008년 국제표준 정보보호관리체계(ISO27001), 2017년 공동데이터 보안 표준 PCI-DSS, 올해 8월 국내 정보보호 및 개인정보보호 관리체계(ISMS-P)까지 취득하며 비은행계 카드사 중 유일하게 3대 보안 인증을 확보했다.

그런데도 이번 해킹 사태는 인증과 제도적 장치가 실제 대응 단계에서 한계를 드러냈다는 평가다. 첫 해킹 후 17일간 관련 사실을 인지하지 못한 만큼 인증 등 제도적 장치만으로는 충분치 않음을 보여준다.

카드업계 관계자는 "롯데카드가 내부통제위원회 설치나 보안 인증 확보 등 제도적 장치를 선도적으로 마련한 점은 높이 평가할 만하다"면서도 "이번 사태는 제도와 현장 대응을 유기적으로 연결하는 것이 향후 과제임을 보여준다"고 말했다.

내부통제의 본래 목적은 기업 경영 전반에서 신뢰를 높이는 데 있다. 하지만 단순한 제도적 장치에 그치지 않고 현장 대응으로 연결돼야 한다는 목소리가 커지고 있다. 이번 롯데카드 사례는 이러한 간극이 여실히 드러난 경우라는 지적이 제기된다.

아울러 이번 사고가 외부 해킹에 의한 직접 치매가 발생한 첫 사례라는 점에서 파장이 크다. 그동안 내부 직원의 범행이나 관리 소홀로 인한 정보 유출은 있었지만 외부 공격으로 직접 시스템이 뚫린 전례는 없었다. 이 때문에 업계 전반에서 보안 체계 점검 필요성이 다시 제기되고 있다.

특히 카드사는 결제 데이터라는 민감한 정보를 다루는 만큼 보안 사고만으로도 신뢰가 흔들릴 수 있다. 개인정보 유출 여부와 피해 규모에 따라 보상 및 사후 관리 문제가 불거질 수 있는 만큼 향후 롯데카드의 후속 대응에 업계와 소비자 모두의 시선이 쏠리고 있다.

이와 관련해 롯데카드 관계자는 "이번 사고와 관련해 개인정보 유출 여부는 현재 금융당국과 함께 면밀히 조사 중"이라며 "추후 확인되는 내용에 따라 고객 보호를 최우선으로 신속히 대응하고 필요한 조치를 취하겠다"고 말했다.