인터뷰를 인용보도할 때는 프로그램명 'SBS <편상욱의 뉴스브리핑>'을 정확히 밝혀주시기 바랍니다. 저작권은 SBS에 있습니다.
■ 방송 : SBS <편상욱의 뉴스브리핑> 월~금 (14:00~16:00)
■ 진행 : 편상욱 앵커
■ 대담 : 이고은 변호사
--------------------------------------------
● 롯데카드, 297만명 털렸다
이고은/ 변호사
"롯데카드 이용자 297만명, 가입자의 약 30% 개인정보 유출돼"
"롯데카드, 8년전 서버 보안 문제 업데이트 중 일부 서버 누락"
"롯데카드, 서버 보안 문제 보고 받았을 때 즉시 조치했어야"
"개인정보 유출 피해, 단체 소송 가능성‥실질적인 피해보상 필요"
"매출액의 최대 3% 과징금 부과 가능성 200억~800억 과징금 가능성"
● 중국 '윗선' 추적
이고은/ 변호사
"KT 소액결제 피의자 2명 서로 일면식 없어‥중국 윗선 통해 따로 범행"
"경찰, 주범 추적 위해 중국과 공조 예정..공조 수사 가능한 협정 있어"
"정부, 적극적으로 징벌적 과징금 제도 부과‥재발 방지에 노력"
▷ 편상욱 / 앵커 : 지난달 발생한 롯데카드 해킹 사고로 회원 297만 명의 개인 정보가 유출됐습니다 . 심지어 이 가운데 28만 명은 카드 비밀번호 두 자리 유효기간 같은 결제에 필요한 정보까지 탈취당해서 금전 피해 우려가 커지고 있습니다. 한편 KT 무단 소액결제 사건의 피의자인 중국 국적 남성 2명이 어제 구속됐는데요. 이들은 이번 범행이 중국 윗선의 지시로 이루어졌다고 주장하고 있습니다. 관련 내용 이고은 변호사와 자세히 짚어보겠습니다. 변호사님 어서 오세요. 일단 롯데카드 해킹 사고 이게 해킹된 범죄의 수준이 상당히 심각하네요.
▶ 이고은 / 변호사 : 그렇습니다. 롯데카드 이용자의 숫자가 무려 960만 명이 되는데 그중에 30%에 달하는 297만 명의 정보가 유출이 됐습니다. 대규모 유출 사태인데 정말 심각한 것은 이 가운데 28만 명이 카드 번호 비밀번호 두 자리 유효기간과 CVC 등 핵심 정보까지 탈취당하게 했다는 겁니다. 이를 통해서 카드 정보를 통해서 결제가 가능한 수단으로 2차 범죄가 발생하는 것은 아니냐라면서 불안감을 호소하는 이용자들이 늘고 있습니다.
▷ 편상욱 / 앵커 : 그래서 어제 롯데카드 대표가 이번 사태에 대해 공식적으로 사과를 했습니다. 해킹 사고가 발생한 지 한 달여 만입니다. 잠깐 보고 오겠습니다. // 사과는 했습니다만 카드 번호에 유효기간 그리고 뒤에 맨 나중에 넣는 CVC 번호가 있잖아요. 세 자리 그게 다 있으면 온라인 교체가 가능한 거지 않습니까. 피해가 만약에 발생하기 시작하면 걷잡을 수 없을 것 같은데요.
▶ 이고은 / 변호사 : 그렇습니다. 본인 인증 없이도 말씀 주신 대로 CVC 번호나 카드번호 심지어 카드 비밀번호에 두 자리까지 유출된 28만 명 같은 경우에는 키인 결제 방식으로 나의 정보가 사용될 수 있는 것이 아니냐라고 우려를 표하고 있습니다. 그런데 롯데 측에서는 키인 결제의 가맹점 숫자가 전체 가맹점의 약 1%에 불과하기 때문에 그럴 위험성이 낮다라고 이야기하고 있고요. 실제 키인 결제 방식에 부정 사용된 그런 예도 없고 지금까지 부정 사용 사례가 없다라는 점을 분명히 밝혔습니다. 그렇지만 롯데카드 가입자들이 불안감을 호소하고 있어서 한때 이 롯데카드 애플리케이션이 마비되는 그런 상황까지 초래됐습니다.
▷ 편상욱 / 앵커 : 이렇게 그런데 유효기간 CVC 번호까지 유출이 됐으면 이 유출된 정보만을 가지고 복제 카드를 만들 수는 없어요?
▶ 이고은 / 변호사 : 다행히도 그렇게는 불가능하다고 합니다. 롯데카드 측에서 밝힌 바로는 실물 카드에 필요한 정보 그러니까 IC칩이나 아니면 마그네틱과 같은 정보는 유출이 되지 않아서 실제로 복제 카드를 만드는 그런 사고는 발생할 가능성이 없다. 이렇게 밝혔습니다.
▷ 편상욱 / 앵커 : 그런데 해킹이 지난달 14일 발생했다고 그래요. 이미 한 달이 지난 건데 그동 안 롯데카드는 왜 피해 사실을 밝히지 않은 겁니까?
▶ 이고은 / 변호사 : 지금 롯데카드가 지금 그러한 점에서 비판을 많이 받고 있는 것입니다. 롯데카드는 공개 사과 전날까지 개인정보 유출은 없었다라면서 부인을 했고요. 따라서 피해자들이 그 수일 동안 적극적 으로 피해 상황에 대해서 대처할 수 있는 기회가 상실됐던 것이 아니냐라는 비판이 제기되고 있습니다. 해킹은 실제로 지난달 14일 발생했지만 롯데카드에서는 한 달간 이 피해 사실을 피해자들에게 알리지 않았다는 점에서 현재 금융위 등에서는 적극적으로 이 부분에 대해서 문제 제기를 하겠다라고 밝힌 상황입니다.
▷ 편상욱 / 앵커 : 게다가 더 큰 문제가 이미 8년 전에 이렇게 보안에 문제가 생길 수 있다는 경고를 받았었다고 해요. 이게 무슨 말입니까? 경고 받고도 그러면 아무무 조치를 안 한 건가요?
▶ 이고은 / 변호사 : 저는 이 부분이 굉장히 중요하다고 생각이 들고 추후에 징벌적 배상 등이 될 때 롯데카드 측의 중대한 과실이 인정될 가능성이 굉장히 높다라는 생각이 드는데요. 말씀 주신 대로 롯데카드가 고객 결제 정보 서버 관리에 사용하는 소프트웨어가 이미 2017년부터 보안상 굉장히 위험한 부분이 있다라는 것을 보고를 받았다는 겁니다. 그래서 실제로 제조사가 긴급 업데이트가 필요하다는 점을 권고했고요. 심지어 시스코 위험도가 10점 만점에 9.8점에 해당할 정도로 긴급하게 업데이트가 필요하다라고 알렸음에도 불구하고 롯데카드 측에서는 업데이트는 진행을 했지만 일부 누락된 부분이 있었던 겁니다. 그런데 해커가 이 누락된 부분을 파고 들어서 이렇게 대규모의 개인정보를 유출했다는 점에서 사실 중대한 과실이 있다. 이 부분에 대한 책임을 피하기는 좀 어렵지 않을까 싶습니다.
▷ 편상욱 / 앵커 : 어쨌든 지금 롯데카드의 대주주죠 . 사모펀드인 MBK파트너스의 책임을 묻는 지적도 있더군요. 사모펀드가 인수해서 보안 관련 비용을 줄였기 때문에 이런 해킹 사고가 발생한 것 아니냐 이런 지적인데요.
▶ 이고은 / 변호사 : 그렇습니다. 그런데 이 부분에 대해서 롯데카드 측에서는 그렇지 않다라는 입장을 밝혔습니다. 개인 정보 관련해서 우리가 유출되지 않도록 보안 비용도 늘렸고 실제 담당 부서의 인원도 15명 규모에서 30명 이상으로 우리가 확대를 했기 때문에 사모펀드인 MBK파트너스가 롯데카드를 인수하면서 관련 비용을 줄였던 것이 이번 사태의 원인이지 않느냐 이 부분은 사실무근이다라고 밝혔습니다.
▷ 편상욱 / 앵커 : 그렇다면 대체 어쩌다가 이런 일이 발생한 건지 롯데카드 보안 관계자를 통해서 직접 들어보겠습니다. // 그러니까 보안 업데이트가 적용되지 않았던 부분을 해커들이 파고들었다. 이런 얘기인데 그렇다면 롯데카드 측의 과실이 인정되는 건가요?
▶ 이고은 / 변호사 : 인정될 가능성이 상당히 높다라는 생각이 듭니다. 이렇게 긴급 업데이트가 필요하다라는 권고를 받았던 시점이 무려 2017년이라는 거죠. 그런데 수년간 긴급 업데이트를 진행했지 만 아까 지금 발표 내용처럼 1개의 웹 로직 하나가 보안 패치 부분에 대해서 누락된 사실을 이제야 발견했다는 거죠. 그런데 해당 관계사에서 긴급 업데이트가 필요합니다. 위험도가 10점 만점에 무려 9점이 넘습니다라는 고를 받았다면 누락된 부분이 없이 업데이트가 전부 됐는지를 철저히 규명했었음에도 불구하고 이 부분을 누락했고 그 누락된 부분을 타고 지금 해킹이 발생했다는 점에서 추후 징벌적 손해배상 문제로 가면 중대한 과실이 인정될 가능성이 상당히 높지 않을까 싶습니다.
▷ 편상욱 / 앵커 : 그럼 롯데카드 이번 해킹 피해 어떻게 수습하고 있습니까.
▶ 이고은 / 변호사 : 현재 28만 명 그러니까 CVC 번호까지 유출된 심각한 개인 정보가 유출된 인원들에 대해서는 카드를 재발급할 경우에 연회비를 면제해 주겠다라고 이야기를 하고 있고 또 비밀번호 교체 작업을 진행하고 있습니다. 또 부정 사용 피해가 발생하면 전액 보상하겠다 는 입장이고요. 또 그 이외에도 현재 이용자의 30%에 해당하는 200만 명이 넘는 개인정보 유출 피해자 같은 경우에는 10개월간 무이자 할부 서비스를 제공하겠다고 하고 있는데 사실 개인정보 유출에 피해를 당한 이용자 입장에서는 무이자 할부를 해준다 내지는 연회비 가입을 면제해 준다는 것이 진정한 보상 체계인가에 대한 불만도 나오고 있는 것이 현실입니다.
▷ 편상욱 / 앵커 : 최근에 금융사 통신사 등에서 개인정보 유출 사건이 많은데 법적으로 지금 그럼 개인정보 유출된 개인에 대해서 피해를 보상해 주는 제도나 규정 같은 게 있습니까.
▶ 이고은 / 변호사 : 실질적으로 민사소송 제기가 가능할 것 같습니다. 지금 롯데카드사에서 지금 제시하고 있는 보상안이 충분치 않다고 판단되면 이번에 개인 유출 피해를 입은 피해자들이 단체 소송을 제기할 가능성이 상당히 높다는 생각이 드는데요. 따라서 롯데카드사에서는 아마 실질적인 보상안을 담은 이 정책을 발표할 필요가 있다고 생각이 들고 실질적으로 불법 행위에 대한 손해배상 청구를 청구했을 경우에 인정될 가능성이 상당히 높다는 생각이 듭니다.
▷ 편상욱 / 앵커 : 금융위가 이번 사태와 관련해서 조사 결과와 관련해 제대로 나올 경우에 엄정 조치하겠다. 이렇게 경고를 했더군요.
▶ 이고은 / 변호사 : 그렇습니다. 징벌적 과징금까지도 도입을 하겠다고 밝혔는데요. 징벌 적 과징금 같은 경우에는 고의적 이거나 혹은 중과실 행위에 대해서 일반적인 과징금보다 훨씬 더 무겁게 부과하는 제재금입니다. 따라서 이번에 징벌적 과징금까지 도입이 되어서 부과된다고 하면 롯데카드사에도 상당한 재정적인 부담이 발생하지 않을까 싶습니다.
▷ 편상욱 / 앵커 : 그렇다면 어느 정도 과징금이 나올까요.
▶ 이고은 / 변호사 : 매출액의 최대 3% 수준의 과징금이 매겨질 거다. 이런 보도가 나오고 있습니다. 작년 롯데카드의 매출액이 2조 7000억 원이었습니다. 여기에 3%를 계산해보면 약 810억 원이기 때문에 매출액의 1%에서 3% 사이로 결정될 가능성이 높아서 200억에서 800억 사이의 규모의 과징금이 부과될 가능성이 상당히 높은 그런 상황입니다.
▷ 편상욱 / 앵커 : 일단 해킹범도 잡아야 하는데 잡으면 어떤 혐의로 처벌을 받게 됩니까.
▶ 이고은 / 변호사 : 정보통신망법 위반 등의 혐의를 받게 될 가능성이 높고요. 또 중요한 것은 수사 과정을 통해서 탈취한 개인 정보를 어떻게 부정 이용했는가 이 부분을 밝힌다면 추가 혐의가 조금 더 나올 수도 있는 그런 상황입니다.
▷ 편상욱 / 앵커 : 롯데카드 갖고 계신 분들은 지금 내 정보가 나갔는지 안 나갔는지 굉장히 궁금하고 불안할 텐데 어떻게 확인을 해봐야 되나요.
▶ 이고은 / 변호사 : 이번에 정보가 유출된 고객들 같은 경우에는 롯데카드사에서는 전원 다 문자 발송했다고 밝히고 있고요. 또 안내 전화도 병행하고 있다고 밝혔습니다. 저도 개인적으로 롯데카드를 쓰고 있는데 오늘 문자가 온 것이 개인정보 미유출 고객이다라는 안내 문자가 오더라고요. 그래서 유출된 고객뿐만 아니라 미유출된 고객까지도 전수조사를 통해서 문자로 알림이 가고 있는 그런 상황입니다. 그 외에도 롯데카드 앱을 통해서도 확인하실 수 있고요. 또 피해가 발생했을 때는 고객센터를 통해서 피해 내용을 접수하실 수도 있습니다.
▷ 편상욱 / 앵커 : 그런데 이런 사건이 터지니까 롯데카드 해지하시겠다는 분들도 많다고 그래요. 그렇다면 그동안 쌓아온 포인트나 이런 것들은 어떻게 처리를 하죠?
▶ 이고은 / 변호사 : 롯데카드에서 이 부분에 대해서 구체적인 보상안을 아마 발표할 것 같은데요. 기본적으로 피해가 발생하는 부분에 대해서는 전액 보상하겠다는 취지여서 롯데카드의 포인트를 L포인트로 전환하는 방법 등에 대해서 아마 구체적인 해지안, 보상안에 대해서 추후에 나오지 않을까 싶습니다.
▷ 편상욱 / 앵커 : 알겠습니다. 다음 소식입니다. 지난달 말부터 이달 초까지 수도권 일대에서 발생한 KT 소액결제 사건의 용의자 2명이 붙잡혔습니다. 중국 동포인 이들은 서로 모르는 사이라고 진술한 것으로 전해졌는데 경찰은 윗선이 있을 가능성을 염두에 두고 수사를 벌이고 있습니다. 관련 내용 먼저 보시겠습니다. // 중국 국적자지만 불법 체류자는 아니라고 하던데 이들이 그럼 국내에서 무슨 일을 하다가 잡힌 건가요?
▶ 이고은 / 변호사 : 두 사람 모두 합법 체류자였던 것으로 밝혀졌고요. 또 일용직 근로자로 근로를 해 왔던 인물들입니다. 그런데 참 의아한 것이 이 A 씨와 B 씨가 전혀 일면식도 모르는 사람이라는 거죠. 그런데 A 씨와 B 씨의 역할이 연관이 있다는 점이 참 의아합니다. A 씨 같은 경우에는 그 역할이 불법 소형 기지국 장비를 가지고 수도권 일대를 다니면서 KT 이용자들의 휴대폰을 해킹해서 무단 소액 결제를 한 것이고요. 그 무단 소액 결제를 한 상품권을 현금화하는 역할을 했던 것이 바로 B 씨의 역할이라는 거죠. 그런데 그 두 사람은 전혀 일면식도 없고 각각 중국에 있는 윗선과 연락을 했다는 점에서 경찰에서는 그 두 사람이 각각 접촉했던 윗선이 같은 사람인지 또 이 두 사람이 이런 일을 했다고 하면 그 일에 대한 보상을 받기로 약정을 했을 것이기 때문에 그런 부분들도 어떻게 연락을 주고받았는지 이런 부분들을 수사해서 윗선을 밝혀내겠다고 밝히고 있는 상황입니다.
▷ 편상욱 / 앵커 : 그런데 윗선이 만약에 중국에 체류 중인 중국 국적자라면 검거가 쉽지 않을 것 같은데요.
▶ 이고은 / 변호사 : 쉽지 않을 수 있습니다. 그런데 우리나라와 중국 같은 경우에는 국제적으로 함께 수사를 할 수 있도록 조약도 맺어져 있고요. 또 범죄인 인도 조약도 체결된 상황이라서 아마 적극적으로 우리 정부가 중국의 그 윗선 그러니까 범죄 조직 단체에 대해 함께 공조수사를 하자라고 요청할 가능성이 크고요. 실질적으로 청도에서도 중국에 있는 주범을 함께 수사해서 함께 잡아왔던 체포를 했던 그런 사건들도 있기 때문에 아마 윗선들이 누구인지 이 부분에 대해서 중국과 공조 수사할 가능성이 상당히 높지 않을까 싶습니다.
▷ 편상욱 / 앵커 : 사건 건 발생 초기에 일부 정보 보안 전문가들이 KT 내부에 협력자 조력자 공범이 있을 가능성을 제기했었는데 그 부분은 드러나지 않은 겁니까?
▶ 이고은 / 변호사 : 아직까지는 그 부분에 대해서 보도된 바는 없는데요. 아마 이 사건의 여러 가지 가능성을 열어두고 수사를 벌일 것 같습니다. 현재 이 주범 두 사람에 대해서 구속영장이 발부됐기 때문에 이 사람들이 주범과 연락할 때 사용했던 PC들이라든지 휴대전화 이런 부분들에 대해서 포렌식을 진행할 것으로 보여지고 포렌식 과정 중에 KT 내부자들과의 소통 내역이 있는지 이런 부분들에 대해서도 함께 수사를 하지 않을 까 싶습니다.
▷ 편상욱 / 앵커 : 이런 사건이 잇따라 일어나자 정부가 이에 대해서 현행 보안체계 전반을 원점에서 재검토하겠다. 이렇게 밝혔습니다. 정부 얘기도 들어보겠습니다. // 정부가 제도 마련에 나서겠다고 얘기는 했습니다만 과연 얼마나 효과가 있을까 걱정도 되는군요.
▶ 이고은 / 변호사 : 그렇습니다. 그런데 앞선 롯데카드 사태로 미루어 봐서 정부에서도 적극적으로 징벌적 과징금 제도를 도입하겠다 고 하고 있어서요. 이러한 제도 보완을 통해서 다시는 이런 사건이 재발되지 않도록 정부 차원에서도 여러 가지 대책을 마련하고 있는 상황입니다.
▷ 편상욱 / 앵커 : 알겠습니다. 오늘 말씀 여기까지 듣죠. 이고은 변호사 말씀 잘 들었습니다. 오늘 뉴스 브리핑은 여기서 모두 마치겠습니다. 주말 편안히 보내시고 저희는 다음 주에 다시 찾아뵙겠습니다. 고맙습니다.
※ 자세한 내용은 동영상으로 확인하실 수 있습니다.
(SBS 디지털뉴스편집부)