[롯데카드 해킹 수습]② 타사 '꼼수' 대응과 대비…기준점은 일관성·투명성

2025-11-21     김홍준 기자
롯데카드 서울 광화문사옥 전경 /사진 제공=롯데카드

올해 금융·통신권에서 사이버침해 정황이 잇따른 가운데 롯데카드는 초기 신고부터 공개, 사과, 후속조치까지 끊기지 않은 대응으로 업계의 평가를 바꿔놓았다. 사고를 숨기거나 지연시켰던 대형통신사들의 사례와 극명한 대조를 이루며 사실상 해킹 등 사이버침해 사고 대응의 '모범사례'로 꼽히고 있다.

전문가들은 디지털침해가 완전히 차단하기 어려운 영역이 됐다고 설명한다. 기술은 빠르게 고도화되고 탐지와 원인 규명은 더욱 복잡해졌다. 이에 따라 사고 이후 기업이 어떤 판단과 조치를 선택했는지가 신뢰를 가르는 핵심 기준이 될 것이라고 전문가들은 입을 모은다.

21일 금융권에 따르면 이번 롯데카드의 대응은 국내 금융권에서 드문 일관된 흐름을 보여줬다는 평가가 나온다. 사고 인지부터 신고, 공개, 사과, 고객보호, 조직개선, 경영책임까지의 수순이 단절되지 않고 매끄럽게 이어졌다는 점이 부각됐다.

롯데카드는 외부의 침해 시도를 탐지한 직후 유관기관에 신고했다. 침해 사실을 일정 기간 내부에서만 검토하며 시간을 벌던 과거의 업계 관행과는 방향이 완전히 달랐다. 9월4일에는 조좌진 롯데카드 대표 명의로 대국민 사과문을 발표해 사고 발견 경위와 차단조치, 고객보호 상황을 직접 설명했다. 

이후 최종 유출피해 규모가 확정되자 롯데카드는 정보유출 외에 금전적 피해가 발생했는지 확인되지 않은 상황에서도 기자간담회를 개최했다. 이 자리에서 조 대표는 직접 세부 사항을 밝히며 불확실성이 남은 영역까지 정보를 제공했다. 초기 신고 규모와 실제 유출범위에 차이가 있었다는 지적도 나왔지만, 금융당국의 조사 이후 롯데카드는 추가 사실을 숨기지 않고 공개·사과·보완 조치를 이어갔다.

최고경영자(CEO)의 결정도 주목할 만했다. 조 대표는 최종 책임범위가 가시화되기 전인 데도 최근 사임 의사를 이사회에 먼저 전달했다. 결과의 규모와 무관하게 사고에 대한 총괄책임을 인정하겠다는 메시지였다.

롯데카드 해킹사고 타임라인 /그래픽=김홍준 기자

이 같은 조치들은 해외에서 위기 대응의 교본으로 꼽히는 미국 대형 유통 업체 타깃의 사례와 맞닿아 있다. 당시 그레그 스타인하펠 CEO의 빠른 공개, 실질적 조치, 명확한 책임이라는 흐름은 지금까지도 대표적 위기관리 사례로 남아 있다.

2013년 타깃이 보유한 1억1000만명의 개인정보가 해킹으로 유출된 뒤 내부 방침은 은폐에 가까웠다. 사고 발생 한달 후 수사당국은 해커가 추가로 7000만명의 카드번호·이름·전화번호에 접근했다고 통보했지만, 일부 임원들은 유출이 확정되지 않은 상황에서 사건을 대중에게 알리는 것은 회사 평판에 치명적이라며 공개에 반대했다. 

하지만 스타인하펠 CEO는 "사람들은 타깃이 해킹을 당한 사실보다 어떻게 대응했는지로 기억할 것"이라며 공개를 밀어붙였다. 그는 언론에 피해 범위와 고객조치법, 보상책을 직접 설명하고 보안조직 전면 재정비와 최고정보관리책임자(CIO) 교체, 최고정보보호책임자(CISO) 신설을 단행했다. 사태가 정리된 뒤에는 본인이 자진 사임하며 도의적 책임까지 졌다.

롯데카드, 타깃의 대응과 국내의 최근 사례들을 비교하면 차이가 뚜렷하다. KT는 지난해 악성코드 감염 서버 43개를 발견하고도 일정 기간 신고하지 않고 자체 조치만 취했던 사실이 조사 과정에서 드러났다.

SK텔레콤(SKT)은 사고 초기 유영상 대표가 피해보상보다 회사의 손실을 우려하는 듯한 발언을 내놓아 질타를 받았다. 이후 유 대표는 조용히 SK그룹의 최고협의기구인 수펙스추구협의회로 자리를 옮겼다.

반면 롯데카드는 대응의 방향성이 흔들리지 않았다. 사건을 축소하거나 판단을 미루는 대신 선공개 이후 사실을 보완하는 접근법을 택했다. 고객안내와 조직개편을 초기부터 병행하며 의사결정의 예측 가능성을 높였고 CEO의 책임 의지도 명확하게 전달했다.

금융권에서는 이번 롯데카드 사례가 국내 침해사고 대응의 기준선을 다시 세울 가능성이 크다고 본다. 피해 규모나 최종 파악 범위보다 중요한 것은 회사가 보여준 투명성, 공개 속도, 고객보호 의지, CEO의 태도, 그리고 조직·시스템 개선의 깊이라는 점이 분명히 드러났기 때문이다.

타깃의 사례에서 봤듯이 롯데카드는 사고 이후의 선택으로 신뢰 하락을 최소화했다는 평가가 나온다. 금융권 관계자는 "침해사고를 피할 수 없는 시대에는 초기 선택이 모든 후속 흐름을 결정한다"며 "롯데카드는 공개·사과·조치·책임이 한 방향으로 이어지는 대응을 보여준 드문 사례"라고 설명했다.