롯데카드는 카드사 중 최초로 정보보호 현황을 자율 공시하며 정보보호를 투명하고 책임감 있게 이행하겠다고 강조했다.
29일 한국인터넷진흥원(KISA) 정보보호공시종합포털에 따르면 지난해 롯데카드의 정보기술부문 투자액은 1283억6954만 원이며 그중 정보보호부문 투자액은 125억7377만 원으로 IT 투자 대비 9.8% 수준이다.
주요 투자 항목으로는 WAF(웹 방화벽), XDR(확장 탐지 및 대응), ASM(공격 표면 관리), DTM(디지털 위협 관리) 등 보안 및 침해사고 예방체계 구축이 명시됐다.
정보보호 전담 인력은 내부 28.1명, 외주 8.4명을 포함해 총 36.5명으로 IT인력 383.4명 대비 9.5%를 차지했다.
정보보호산업법 시행령 및 금융당국 가이드라인상 정보보호 전담인력 비율 권고기준은 IT 인력의 5% 이상인 것과 비교하면 법적 권고 기준을 상회하는 수준이다.
또한 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)는 모두 정보보호센터장이 겸직하고 있으며 임원급이며 정보보호 인증으로는 ISMS, ISO27001:2022, PCI-DSS를 보유하고 있다.
정보보호 활동도 강화됐다. WAF·XDR·ASM·DTM 등 침해사고 예방체계를 새로 구축했고 내부인증체계(FIDO) 강화 솔루션과 개인정보 검출 솔루션도 도입했다. 침해사고 대응훈련과 재해복구 모의훈련을 실시하고 매월 내부 볼시 보안점검도 진행하고 있다.
롯데카드 관계자는 "이 밖에도 당사는 정보보호를 위해 임직원 정보보안 교육, 정보보호위원회 정기 회의 진행, 보안 및 침해사고 예방체계구축 등의 활동을 이행했다"고 강조했다.
이번 공시는 지난해 8월 발생한 대규모 해킹 사고와 떼놓고 보기 어렵다. 지난해 8월 롯데카드는 서버가 해킹을 당하며 대규모 개인정보 유출 사태가 발생한 바 있다.
유출된 정보 내에는 약 297만 명의 개인신용정보가 포함돼 있으며 이중 약 28만 명은 카드비밀번호와 CVC 등 결제에 직접 악용 가능한 정보들도 유출된 것으로 파악됐다.
초기에는 1.7GB 정도의 데이터 유출이 있었다고 보고했으나 금융당국 현장 점검 결과 실제 피해 규모는 당초 보고된 수준의 약 100배인 200GB에 육박하는 것으로 밝혀졌다.
사고 원인으로는 보안 투자 소홀이 지목된다. 금융감독원 조사에 따르면 지난해 말 롯데카드의 네트워크 보안 관련 지출은 116억 원으로 2021년 137억 원이었던 것과 비교하면 14.7% 감소한 수준이었으며 롯데카드는 지속적으로 보안 예산을 축소하고 있었다.
사고 직후 롯데카드는 대규모 보안 투자를 약속했다. 롯데카드는 향후 5년간 정보보호 분야에 1200억 원 규모를 투입하겠다고 밝혔다. IT 전체 예산 가운데 정보보호 비중을 현재 10% 수준에서 15%까지 확대한다는 계획으로 이는 전자금융거래법상 가이드라인인 7%의 두 배를 넘는 수준이다.
다만 이번 공시에 기재된 지난해 정보보호 투자액 125억7000만 원은 연평균 220억 원 규모의 약속에는 못 미치지만 해당 투자계획은 사고 이후 마련된 중장기 계획이라는 점에서 의미가 있다.
롯데카드 측은 이번 공시 또한 정보보호 현황을 투명하게 공개하고 책임감 있게 이행하기 위해 카드사 중 처음으로 자율 공시했다는 설명이다.
롯데카드 관계자는 "금융회사의 경우 해당 공시가 의무 대상은 아니지만 당사는 정보보호 현황을 투명하게 공개하고 책임감 있게 정보보호를 이행하기 위해 카드사 중 처음으로 자율 공시했다"고 말했다.
[소비자가만드는신문=서현진 기자]
