[딜사이트 최지혜 기자] 롯데카드의 정보보호 사령탑인 최용혁 최고정보보호책임자(CISO)가 금융당국 제재 가시권에 올랐다. 부임 6개월 만에 대형 해킹 사고로 297만명의 개인정보가 유출되는 사고가 발생했기 때문이다. 특히 문제의 서버가 금융당국의 반복된 보안패치 권고에도 업데이트가 누락된 사실이 드러나면서 책임론이 고조돼 최용혁 CISO가 징계 1순위로 거론되고 있다.

29일 금융권에 따르면 롯데카드 CISO를 맡고 있는 최용혁 상무(정보보호실장)는 최근 해킹 사고 브리핑에서 "외부 공격자가 롯데카드 온라인 결제 시스템의 취약점을 스캔해 특정 서버에 악성 코드를 설치했다"며 "2017년 취약점 발견 당시 48개 서버에 보안패치를 적용했지만, 사용량이 적었던 한 서버가 누락돼 이번 사고로 이어졌다"고 설명했다.

최 상무는 숭실대 정보통신공학과와 고려대 금융정보학 석사를 거친 금융보안 전문가로 꼽힌다. 금융투자협회에서 정보보안총괄을 맡았고, 카카오페이손해보험에서 CISO·CPO·CIAP를 겸직한 뒤 올해 2월 롯데카드로 자리를 옮겼다.

그러나 부임 6개월도 채 되지 않은 지난 8월15일, 대규모 해킹 사고가 터지면서 그가 총괄하는 정보보호체계가 도마 위에 올랐다. 최 상무는 롯데카드의 정보보호를 총괄하는 유일한 책임자다. CISO뿐 아니라 개인정보보호책임자(CPO)와 신용정보 관리·보호인(CIAP)를 모두 겸직하고 있어 보안업무 책무구조의 최상단에 있는 인물이다.

주목할 부분은 이번 사고가 단순한 시스템 취약점이 아니라 관리 부실의 결과라는 지적이 나온다는 점이다. 금융당국은 2017년부터 문제 서버의 보안패치를 지속적으로 권고했으며, 금융보안원은 2018년과 지난해 8월에도 추가 업데이트를 요청했지만 개선이 이뤄지지 않았다.

이 때문에 카드업계에선 금융당국이 이번 사고의 책임을 물을 가능성이 크다고 보고 있다. 실제로 금융위원회 역시 조사가 마무리돼야 하지만 현 단게에서 CISO 제재 가능성을 배제하기 어렵다는 입장이다.

과거 신한카드도 앱 스미싱 사고 당시 CISO가 직접 견책 상당의 징계를 받은 전례가 있다. 당시 신한카드 모바일 앱이 도용된 휴대폰에 설치돼 고객의 카드가 부정사용된 사고가 발생했다. 금융위는 카드 부정사용 예방이 소흘했다는 점에 책임을 물어 당시 신한카드 CISO에 징계를 내렸다.

업계에서는 최 상무의 책임이 불가피하다는 시각이 우세하지만, 임기 초반이라는 점에서 공교롭다는 평가도 있다.

금융권 관계자는 "국내 금융보안 전문가 인력이 제한적인 상황에서 최 상무의 이력은 전문가로서 손색이 없다"면서도 "다만 취약한 기존의 보안체계로 업무 인수·인계를 받은 직후 사고가 발생한 만큼 구조적 한계도 있다"고 말했다. 롯데카드의 보안이 취약했던 상황에서 최 상무가 CISO 임기를 시작한 만큼 이를 고려해야 한다는 의미로 풀이된다.

현재 롯데카드는 악성코드 감염 서버 격리와 공격 IP 차단, 추가 피해 점검 등 긴급 대응에 나선 상태다. 특히 보안 체계 전반을 개선해 사고 예방을 강화한다는 방침이다. 최 상무는 금융위원회·과학기술정보통신부 합동 브리핑, 전 금융권 CISO 긴급회의, 청문회 등 각종 일정에 직접 참석하며 사고 수습과 재발 방지 대책 마련에 주력하고 있다.