KT와 롯데카드 등에서 대규모 해킹 사고가 잇달아 발생한 가운데 피해 기업들의 늑장·축소 신고와 허술한 대응이 소비자 피해와 개인정보 유출 공포를 키우고 있다. 해킹을 당하고도 한참 후에 인지한 이들 기업이 피해규모를 당국에 축소 보고했다는 지적까지 나오면서 소비자들은 집단소송에 나서고 있다.

21일 금융당국 등에 따르면 롯데카드는 지난달 발생한 내부파일 유출 사고를 당초 ‘개인정보 유출’로 인지하지 않은 것으로 전해졌다. 신원미상의 해커가 빼간 정보가 암호화된 파일이어서 사고의 심각성이 낮다고 판단한 것이다. 하지만 금융감독원과 금융보안원 조사 결과 외부에 반출된 파일에는 카드 비밀번호와 CVC(카드보안코드) 등 민감한 개인정보 일부가 암호화되지 않았거나 암호가 풀린 상태였다.

금융당국 조사 과정에서는 롯데카드가 유출 규모 및 해당 내용을 인정하지 않아 당국이 이를 추가로 확인·증명하는 절차를 거친 것으로 알려졌다. 이 때문에 롯데카드가 금감원에 최초로 사고를 보고한 건 이달 1일이지만 정확한 사고 규모는 18일에서야 발표됐다. 첫 내부파일 유출(8월14일)부터 롯데카드의 최초 인지(8월31일)까지도 17일이나 소요됐다. 뒤늦게 피해사실을 안 소비자들은 집단소송을 준비 중이다. 이날 오후 기준 온라인 ‘롯데카드 개인정보 유출 집단소송 카페’에 소송 참여 의사를 밝힌 회원 수는 3300여명에 달한다.

조좌진 롯데카드 대표이사(왼쪽 세번째)가 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다. 연합뉴스

무단 소액결제 사건이 일어난 KT는 외부세력으로부터 중앙 서버도 공격받았으나 뒤늦게 신고하고, 소액 결제 피해 규모도 축소했다는 의혹이 불거졌다. 서버 침해 가능성을 부인해오던 KT는 지난 18일 오후 11시57분 중앙 서버 해킹 흔적을 한국인터넷진흥원(KISA)에 신고했다. 서버 침해 정황을 인지한 시점은 15일 오후 2시로, 사흘 만에 신고한 것이다. 신고 9시간 전 해킹 관련 2차 브리핑 때도 해당 내용을 언급하지 않았다. 소액결제 피해규모도 사건이 처음 알려진 4∼5일 이틀간 97건에 걸쳐 3000만원 이상이 무단 결제됐지만, KT는 해당 기간 피해 건수가 없다고 국회에 보고했다가 피해 규모를 정정했다.



그 결과 6월부터 이달 10일까지 자동응답전화(ARS)를 이용한 소액결제 피해 건수는 1차 집계 당시 527건에서 764건으로 늘었다. 더불어민주당 황정아 의원이 KT로부터 제출받은 자료를 보면 소액결제 피해가 기존에 알려진 서울 서남권과 인천 부평 외에 서울 서초구와 동작구, 경기 고양시 일산동구 등에서도 발생한 정황이 나타났다. 이에 KT 측은 세계일보와 통화에서 “서버 침해의 경우 (외부 전문기관에 맡긴) 보안 점검 결과가 맞는지 내부 검증을 거치는 과정에서 시간이 소요돼 신고가 늦어졌다”고, “(황 의원 측이 밝힌 추가 피해 지역은) 기지국 특성상 피해가 추정되는 곳으로 점검 결과 피해 사실이 확인된 바는 없다”고 해명했다.

김민석 국무총리는 22일 정부서울청사에서 ‘통신사 및 금융사 해킹 사고 관련 긴급 현안 점검 회의’를 개최하기로 했다.

구재형 KT 네트워크부문 네트워크기술본부장이 18일 서울 종로구 KT광화문빌딩에서 열린 KT 소액결제 피해 관련 대응 현황 발표 기자회견에서 허리 숙여 사과하고 있다. 연합뉴스

