조 대표는 24일 서울 여의도 국회에서 열린 국회 과학기술방송통신위원회(과방위)에서 열린 청문회에 참석해 이 같이 밝혔다.
조인철 더불어민주당 의원은 “정보보호 관리체계 인증(ISMS-P)을 받으려면 100개 항목에서 모두 적합 판정을 받아야 한다. 그런데 인증을 받은 지 한 달도 채 되지 않아 고객 개인정보가 유출됐다는 것은 판정대로 조치를 하지 않았거나 체크리스트 자체가 아무 의미가 없었다는 뜻 아니냐”고 지적했다.
이에 대해 조 대표는 “ISMS-P 인증은 범위가 상당히 광범위하다”며 “이번 해킹 문제는 인증제도가 아니라 회사의 보안 체계에 있다”고 해명했다.
박정훈 국민의힘 의원이 “297만 명의 주민등록번호, 카드번호, 비밀번호, CVC 등이 유출됐는데 악성코드 침투조차 파악하지 못한 것 아니냐”고 묻자 조 대표는 “웹쉘 탐지 체계를 갖췄지만 공격자가 탐지되지 않는 곳에 웹쉘을 설치해 확인하지 못했다”고 해명했다.
이어 조 대표는 "2017년경 온라인 결제 서버 내에 웹로직 1개가 업그레이드가 안 된 허점을 타고 악성코드가 들어왔다"고 설명했다.
그러면서 “조 대표가 지난 19일에 의원들이 롯데카드 해킹 관련 현장에 방문했을 때 악성코드 침입만으로는 금융당국에 신고할 수 없다”고 언급한 점에 대해 의구심을 제기하자 조 대표는 “현재 전자금융법상 침해 행위와 침해 사고를 구분하고 있어 악성코드 사실만으로는 신고할 수 없었다”고 해명했다.
이정헌 더불어민주당 의원은 이날 청문회에서 윤종하 사모펀드 운용사 MBK파트너스 부회장을 향해 “2019년 5월 롯데카드를 인수한 뒤 2022년부터 매각을 추진해왔는데 이번 해킹 사태가 불거지자 앞으로 5년간 1100억 원을 보안에 투자하겠다고 밝혔다. 매각을 추진하면서 이런 약속을 어떻게 믿을 수 있겠느냐”고 질타했다.
이에 대해 윤 부회장은 “금융사에 여러 차례 투자한 경험이 있어 금융 보안을 핵심 가치로 두고 있다”고 답했다.
조 대표는 이어 카드 재발급이 수일이 소요되는 이유에 대해 “롯데카드가 24시간 풀가동해서 재발급할 수 있는 카드 수량은 6만 장인데 현재 재발급 신청 고객이 100만 명가량”이라며 “차근차근 해소하고 있고 이번 주 주말까진 대부분 해소될 것”이라고 말했다.[소비자가만드는신문=이은서 기자]
