[디지털 신뢰 위기 보고서] ②롯데카드 해킹...카드사는 보안회사여야 한다

금융카드 한 장은 단순한 플라스틱이 아니다.

고객의 자산, 신용, 그리고 생활 패턴이 고스란히 담긴 데이터 패키지다. 따라서 카드사의 본질은 금융 서비스 제공자이자 동시에 보안 기업이어야 한다. 그러나 최근 드러난 롯데카드의 보안 허점은 이 당연한 전제를 뒤흔들었다.

과거 대규모 개인정보 유출 사건의 아픔을 겪은 카드 업계는 그 후 “다시는 같은 일이 반복되지 않겠다”고 다짐했지만, 이번에도 유사한 문제가 드러나며 고객들의 불안이 재점화됐다. 소비자들은 “몇 년 전에도 털렸는데 또?”라는 질문을 던지고 있다. 신뢰를 되찾아야 할 시점에 다시 신뢰를 잃은 것이다.

보안 전문가들은 롯데카드의 문제를 세 가지 측면에서 지적한다.

첫째, 외주·하청 중심의 IT 관리 구조다. 카드사는 전산 운영과 유지보수를 상당 부분 외부 업체에 맡긴다. 문제는 이 과정에서 정보 접근 권한 관리가 허술해지거나, 실제 보안 통제가 외주업체의 역량에 크게 의존하게 된다는 점이다. “카드사가 직접 지켜야 할 데이터를 외부 손에 맡겨놓고 안심하는 격”이라는 지적이 나오는 이유다.

둘째, 규제 준수와 실제 운영 사이의 괴리다. 카드사는 금융보안원, 금융감독원 등 당국이 요구하는 각종 규제를 따라야 한다. 국제 보안 인증인 PCI-DSS 역시 반드시 획득해야 한다. 하지만 전문가들은 “서류상 규제 충족이 곧 안전을 보장하지 않는다”고 말한다. 즉, 체크리스트는 채웠지만 실제 현장에서 그 원칙이 지켜지지 않는 경우가 많다는 것이다. 한 금융 보안 연구원은 “보안 감사는 연례행사처럼 치르고, 평상시에는 운영 효율과 비용 절감을 이유로 보안을 뒷전으로 미루는 것이 업계의 관행”이라고 꼬집었다.

셋째, 고객 대응 방식의 미숙함이다. 정보가 유출되었을 때 가장 중요한 건 투명성이다. 유출 범위와 피해 가능성을 빠르게 공지하고, 고객 보호를 위한 구체적 대책을 제시해야 한다. 그러나 이번에도 “조사가 진행 중이다”, “피해 규모는 제한적일 것”이라는 애매한 메시지가 반복되었다. 이 과정에서 고객은 “진짜 상황을 숨기고 있는 게 아닌가”라는 의심을 품게 된다.

문제는 카드사 보안 사고가 단순한 개인정보 유출로 끝나지 않는다는 점이다.

금융사기, 불법 결제, 신분 도용으로 곧바로 이어진다. 고객에게는 직접적인 금전 피해로 다가오고, 사회적으로는 금융 신뢰 시스템 전체를 흔드는 파급력을 지닌다. 특히 롯데카드 같은 대형 카드사는 수백만 명의 데이터를 관리한다. 피해자가 단 몇 퍼센트만 발생해도 사회적 충격은 엄청나다.

보안 전문가들이 제시하는 해결책은 명확하다.

첫째, 제3자 리스크 관리 강화다. 외주·하청에 맡겨진 영역을 원청이 직접 점검하고 통제할 수 있는 체계가 필요하다. 단순한 계약이 아니라, 실제로 보안 기준을 충족하는지 수시로 확인하는 절차를 도입해야 한다. 둘째, 규제 중심에서 실질 보안 중심으로의 전환이다. 감사 점검에 통과하는 것이 목표가 아니라, 평상시에도 공격에 견딜 수 있는 보안 운영체계를 만들어야 한다. 셋째, 위기 커뮤니케이션의 전문화다. 고객에게 불편한 진실을 감추려 하지 말고, 정확한 정보를 신속하게 알리는 것이 신뢰 회복의 첫걸음이다.

카드사는 본질적으로 보안회사여야 한다.

고객은 금융 서비스를 편리하게 쓰는 동시에, 카드사가 나의 데이터를 철저히 지켜줄 것이라 기대한다. 롯데카드의 보안 사고는 “규제를 지켰다”는 형식만으로는 고객 신뢰를 얻을 수 없다는 사실을 보여준다. 지금 필요한 건 단기적 땜질이 아니라, 보안을 기업 정체성의 핵심으로 재정립하는 일이다.

신뢰는 수년 동안 쌓아도 하루 만에 무너진다. 롯데카드가 고객 신뢰를 되찾을 수 있을지, 아니면 다시 반복되는 보안사고의 상징으로 남을지는 지금부터의 선택에 달려 있다.

금몽전 기자  kmj@kmjournal.net