| 한스경제=이나라 기자 | 카드사와 통신사를 비롯한 주요 금융·정보통신 기업에서 보안 사고가 잇따라 발생한에 따라 오는 10월 열리는 국정감사 최대 현안으로 '보안 이슈'가 부상하고 있다. 단순한 기술적 문제를 넘어 내부통제 부실과 감독당국 책임론까지 번지는 양상이라 치열한 공방이 예고된다.

26일 카드업계에 따르면, 국회 각 상임위원회는 내달 13일 열리는 국정감사를 앞두고 본격적인 증인 채택 절차에 돌입했다.

국회 정무위원회에서는 다수의 의원들이 롯데카드의 해킹 사태와 관련해 롯데카드 대주주인 MBK파트너스의 김병주 회장과 조좌진 롯데카드 대표를 증인으로 신청한 것으로 알려졌다. 

아울러 김 회장과 조 대표는 과학기술정보방송통신위원회도 증인 명단에도 이름을 올렸다. 이와 함께 과방위 국감에서는 올해 4월 발생한 해킹 사태의 책임을 묻기 위해 유영상 SK텔레콤 대표·김영섭 KT 대표·홍범식 LG유플러스 대표 등 국내 통신 3사 CEO도 소환된다. 

특히 국회는 이번 국감을 통해 김병주 회장을 반드시 소환한다는 생각이다. 김 회장은 앞서 24일 열린 국회 과학기술방송통신위원회 청문회에 불참한 바 있다. 그러나 청문회와 달리 국정감사의 경우 법적 구속력이 있는 만큼, 증인 채택을 피하기가 쉽지 않아 보인다는 관측이다. 

더구나 김 회장의 경우 롯데카드 해킹 사고는 대주주로서의 관리 책임 문제와도 맞닿아 있는 만큼, 사모펀드 소유 구조에서 투자자는 수익만 챙기고 관리 책임은 소홀하다는 비판까지 제기되고 있다. 여기에 홈플러스 기업 회생과 관련한 경영책임 논란까지 겹치면서, 김 회장 소환 여부에 업계는 물론, 정치권의 이목이 쏠리고 있다.

이번 국감의 최대 현안으로 보안 문제가 부상한 배경에는 올해 연쇄적으로 발생한 해킹 사고가 있다. 먼저, 올해 4월에는 통신업계에서 보안 위기가 터졌다. 당시 해커들은 SK텔레콤·KT·LG유플러스 등 국내 통신 3사의 주요 서버와 고객 데이터베이스를 대상으로 동시다발적인 침투 시도를 벌였다. 

일부 시스템에서는 실제로 접근 흔적이 발견됐으며 방화벽 취약점이 드러나면서 일시적인 서비스 장애로 이어졌다. 다행히 대규모 정보 유출로까지는 이어지지 않았지만, 국내 통신 인프라가 언제든 외부 공격에 뚫릴 수 있다는 고객 불안을 촉발시키는 계기가 됐다. 

8월에는 롯데카드 해킹 사고로 약 297만명의 개인정보가 외부로 유출됐다. 단순한 연락처 수준을 넘어 결제 정보 일부까지 포함됐다는 의혹이 불거지면서 소비자 불안은 급격히 확산됐다. 사태 초기 유출 규모를 축소 발표했다는 비판까지 더해져 '은폐 의혹' 논란으로까지 확산됐다.

특히 올해 발생한 일련의 해킹 사태에서 가장 큰 문제는 기업들의 외부 공격에 대한 인식 부족과 사후 대응 미흡이 꼽힌다. 금융감독원 자료에 따르면 최근 5년간 카드사들이 자체적으로 실시한 보안 점검에서 상당수가 '미흡' 평가를 받은 것으로 드러났다.

더욱이 롯데카드의 경우 정보보호 예산 비중과 집행률이 모두 감소한 것으로 확인됐다. 이에 사태 이후 고객들 사이에서는 집단 소송 움직임까지 나타나고 있다. 업계 안팎에서는 "단기 비용 절감 논리가 앞서면서 보안 투자가 후순위로 밀려난 것이 결국 대형 사고로 이어졌다"는 비판이 이어진다.

실제 소비자 피해도 현실화되고 있다. 개인정보가 유출된 고객들은 카드 재발급과 비밀번호 변경 등 불편을 겪고 있으며 2차 범죄에 악용될 수 있다는 우려도 커지고 있다. 장기적으로는 금융사 신뢰 하락·거래 위축·브랜드 가치 훼손 등 사회적 비용으로 이어질 가능성도 배제하기 어렵다는 지적이다. 

한편, 금융당국의 관리 체계에 대한 비판도 거세다. 업계 안팎에서는 감독이 예방보다 사후 제재에 치우쳐 왔다는 지적이 반복된다. 사고 발생 이후에야 '원인 규명–재발 방지–로드맵 이행'으로 이어지는 선순환이 만들어지지 못했다는 것이다. 

또한 경영진 책임을 묻는 지배구조 차원의 관리 지표(KPI)도 느슨하게 운용돼 왔다는 평가가 많다. 특히 정보보호 예산·인력·침해사고 대응지표 등 핵심 데이터를 일관되게 공시·비교할 수 있는 체계가 부재해, 감독당국조차 위험도를 상시적으로 가늠하기 어렵다는 한계가 드러났다.

소관 부처가 금융위·금감원, 과기정통부·방통위, 개인정보보호위 등으로 분산돼 있다는 점도 문제로 지적된다. 기준이 중복되거나 공백이 발생해 사고 보고와 통지 과정에서 혼선이 반복되고, 기관 간 협력체계가 제대로 작동하지 않는다는 것이다. 일부 기업의 경우 정보보호 인증(ISMS 등)을 방패처럼 활용하지만, 인증과 실제 역량 간 괴리를 가려낼 감독 수단은 여전히 부족하다는 비판이 적지 않다. 

한편, 정치권에서는 이번 국감을 계기로 제도 개선 논의가 본격화될 가능성이 높다고 보는 분위기다. 정보보호 예산 의무화, 최고정보보호책임자(CISO)의 독립성 강화, 보안 점검 항목 표준화, 과징금 상향 조정 등이 이번 해킹 사태의 주요 대책으로 거론된다. 

한 금융권 관계자는 "현재 금융당국이 롯데카드의 해킹 사고에 대해 한 기업의 문제가 아닌 카드업계 나아가 기업 전체의 보안 이슈로 규정하는 분위기다"라며, "이에 국내 모든 금융사들이 이번 국감을 주시하고 있는 상황이다"고 말했다. 

이나라 기자 2country@sporbiz.co.kr