롯데카드 해킹 피해, '10년 전 취약점' 방치 의혹 최대 5배 징벌적 배상 논란

960만 회원을 보유한 롯데카드의 해킹 사고가 심각한 파장을 낳고 있다.

당초 1.7GB로 신고했던 유출 규모는 금융당국 조사 결과 '훨씬 큰 수준'으로 드러났다.

이와 함께 해킹 원인이 약 10년 전부터 알려진 보안 취약점을 방치했기 때문이라는 의혹이 제기되며, 롯데카드는 단순 해킹 사고를 넘어 중대한 과실에 대한 법적 책임과 천문학적인 규모의 손해배상 압박에 놓였다.

보안 패치 없는 '무방비 서버' 17일간 방치된 정보 유출

이번 사고는 롯데카드의 부실한 보안 관리가 원인이라는 지적을 받는다.

해킹에 악용된 결제관리 서버의 취약점은 이미 10년 전 대부분의 금융사가 보안 패치를 적용한 것으로 알려져 있다. 하지만 롯데카드는 이를 적용하지 않아 해킹 공격에 그대로 노출된 것으로 전해졌다.

더 큰 문제는 최초 해킹 공격 이후 17일이 지나서야 사태를 인지했다는 사실이다. 이 기간 동안 고객 정보가 유출되는 것을 롯데카드가 파악하지 못했다는 점에서 심각한 관리 부실이 있었다는 비판이 제기된다.

이러한 부실 관리의 배경에는 롯데카드의 최대주주인 사모펀드 MBK파트너스가 수익 극대화에 치중하며 보안 투자를 소홀히 했다는 지적이 나온다. 이는 금융당국이 강조하는 금융소비자 보호와 정면으로 배치되는 부분이다.

법조계 "중대한 과실 가능성" 징벌적 손해배상 쟁점 떠올라

법조계는 이번 롯데카드 사태에서 징벌적 손해배상 가능성을 주목하고 있다. 개인정보 보호법은 개인정보처리자의 고의 또는 중대한 과실로 개인정보가 유출된 경우, 손해액의 최대 5배까지 배상액을 정할 수 있다고 규정한다.

전문가들은 10년 전부터 알려진 취약점을 방치하고, 해킹 인지를 17일이나 지연한 점을 들어 롯데카드의 행위가 '중대한 과실'에 해당할 가능성이 높다고 분석한다.

한 법조계 관계자는 "대부분의 금융사가 취한 조치를 이행하지 않았다는 것은 사회통념상 합리적으로 기대 가능한 보호조치를 다하지 않은 것으로 볼 수 있다"며, "특히 유출된 정보에 카드 정보와 결제 내역 등 민감한 금융 정보가 포함되어 있어 피해자들의 정신적 손해 역시 크게 인정될 수 있다"고 설명했다.

수십억 보상금 현실화되나 고객 신뢰 회복이 관건

롯데카드는 현재 조좌진 대표가 직접 대국민 사과와 피해 대책을 발표할 예정이다.

피해 규모가 수십만에서 수백만 명에 달할 것으로 추정되는 만큼, 법원이 피해자 1인당 10만~30만 원의 위자료를 인정하고 징벌적 손해배상까지 적용하면 총 보상액은 수백억 원에 이를 수 있다는 전망이 나온다. 특히 피해자들이 집단소송을 제기할 경우, 그 규모는 더욱 커질 수 있다.

이번 사고를 계기로 롯데카드는 단순히 카드 재발급 비용 면제와 같은 임시방편을 넘어, 고객 정보 보호를 위한 근본적인 보안 시스템 강화와 투자를 약속해야 할 것이다. 그렇지 않으면 막대한 경제적 손실은 물론, 고객의 신뢰를 완전히 잃게 될 것이라는 분석이다.