[IT 동아] 개인정보 유출사고, 기업은 어떻게 대응해야 할까 (feat. 롯데카드)

[IT동아 김예지 기자] 지난해 개인정보 유출 신고 건수는 447건으로 전년 대비 46% 급증했으며, 주요 원인 중 62%가 해킹인 것으로 나타났다. 보안이 더 이상 남의 일이 아닌 기업의 당면 과제가 된 가운데, 지난해 개인정보 유출 사고를 겪은 롯데카드가 자사의 미흡했던 점과 대응 방법을 공유했다.

지난 22일과 23일 서울 삼성동 코엑스 그랜드볼룸에서 개최된 제15회 개인정보보호페어 & CPO워크숍(PIS FAIR 2026)의 2일차 기조연설에서는 실제 개인정보 유출 사례를 토대로 기업이 갖춰야 할 사이버 레질리언스(사이버 회복력, 복원력) 전략을 공유했다. 사이버 회복력은 사이버 공격이나 시스템 오류 등을 막아낼 뿐만 아니라, 공격을 받았거나 장애가 발생한 상황에서도 피해를 최소화하며, 원래 상태로 복구하는 능력을 의미한다.

이날 토크콘서트에는 최용혁 롯데카드 상무, 강한철 김·장 법률사무소 변호사, 안정호 법무법인 세종 파트너 변호사, 문홍식 한국인터넷진흥원(KISA) 탐지조사팀장이 참여했다. 이들은 “보안 사고 자체를 완벽히 막을 수는 없더라도, 내부 통제 장치가 위기 상황에서 실제로 작동하도록 체계를 마련하는 것이 중요하다”는 공통 의견을 제시했다.

최용혁 상무는 지난해 8월 발생한 롯데카드 개인정보 유출 사고 이후 확인한 취약점을 꼽으며, 기업의 보안 과제를 제시했다. 이는 구형 보안 패치 누락을 노린 해킹 공격으로 약 297만 명의 고객 정보가 유출된 사건이다. 해커는 취약점을 악용해 웹셸(악성코드)을 설치해 내부망을 장악한 뒤, 모니터링 이상 트래픽 탐지 시스템을 우회해 약 200GB의 데이터를 탈취했다. 이로 인해 롯데카드는 개인정보위로부터 과징금 96억 2000만 원 및 과태료 480만 원을 부과받았다.

사고 직후 롯데카드는 신뢰 회복을 위해 조직 개편을 단행했다. 기존 정보보호실을 CEO 직속 체계 ‘정보보호센터’로 격상한 덕분에 경영진이 보안에 깊이 관여하고, 신속하게 의사결정을 내릴 수 있게 됐다는 설명이다. 또한 그는 기업의 보안 과제로 ▲제로 트러스트 원칙의 실질적인 적용 ▲주기적인 서버 모니터링 ▲가시성 확보 ▲신속한 위기관리 ▲로그 속 개인정보 최소화 원칙 재확인 ▲배상책임보험의 실효성 점검 ▲개인신용정보법과 개인정보보호법 간의 적용 범위 해석 차이 조율 등 방안을 제시했다.

최용혁 상무는 최근 공격자와 방어자 간 시간차가 벌어지고 있다는 점에 우려를 표했다. 해커는 AI를 활용해 취약점 발견부터 공격 도구 제작 및 검증까지 며칠이면 끝내지만, 방어자는 패치 개발·배포, 영향도 확인, 예산 확보 등 복잡한 절차를 거쳐야 하기 때문이다. 그는 “결과적으로 기업은 시간차 공격을 막는 방법을 우선순위로 고민해야 한다”며, “이것이 사이버 회복력을 높이는 방안”이라고 말했다.

강한철 변호사는 개인정보 유출 사고 발생 시 기업의 전방위적인 대응을 강조했다. 그는 사이버 복원력을 “경영진의 핵심 의제이자 가시성과 거버넌스의 문제”로 정의하며, “보안팀만의 일이 아니라 전사적 과제로 인식하고 기술뿐만 아니라 기업 대응 측면에서도 회복력을 갖춰야 한다”고 말했다.

안정호 변호사도 진정성 있는 사과와 2차 피해 방지 안내, 전담 CS 창구 마련, 실효성 있는 보상 방안 검토 등을 언급하며, “전방위적 대응 매뉴얼을 사전에 내재화하는 것이 이제는 기업의 생존 전략”이라 주장했다. 특히 그는 사이버 회복력의 핵심은 ‘설명 가능한 보안’이라 강조했다. 사고가 발생하면 규제 기관은 기술적 조치뿐만 아니라 의사결정 과정과 위험관리 전반을 조사한다. 이때 정보자산 목록, 취약점 조치 이력, 접근권한 검토 내역, 모의훈련 결과, 컴플라이언스 점검 결과 등 근거 자료를 자산화해 둬야 실효성 있는 대응이 가능하다는 설명이다.

위기에 비교적 잘 대응한 기업의 공통점은 사고 인지 직후, 낙관적 결론보다 최악의 시나리오를 가정해 움직였다는 점이다. 사건 초기부터 명확한 사실관계만을 바탕으로 투명하게 소통하고, 내부적으로는 컨트롤타워를 가동해 부서별 역할을 분배하며, 1차 수습 이후에도 미흡한 부분을 찾아 보안 체계 전반을 재정비했다. 문홍식 팀장은 “신고는 처벌의 시작이 아니라 대응의 시작”이라 말했다.

그는 현장에서 본 사례를 토대로, “사고가 전혀 나지 않은 기업이 아니라, 사고가 나도 피해가 확산되지 않도록 평소 마련해 둔 통제 장치가 제대로 작동한 기업이 진정으로 잘 대응한 곳”이라고 말했다. 예컨대, 사전에 완벽히 차단하기 어려운 ‘크리덴셜 스터핑’ 공격을 받더라도 기업 내 비정상 로그인 탐지·차단 체계가 있었는지, 동일 IP 대량 접속 대응 정책이 있었는지, 추가 인증 절차가 있었는지, 사고 인지 후 즉시 차단했는지 등이 중요하다는 설명이다. 기업은 백업 데이터가 존재한다는 사실에 안주할 것이 아니라, 해당 백업본이 실제로 온전히 복구 가능한 상태인지 확인하고, 복구 절차에 대한 모의 훈련을 진행해 대비해야 한다.

반면, 기업들이 초기 대응에서 자주 저지르는 실수도 지적했다. 유출 규모를 정확히 모른다는 이유로 신고를 미루거나, 시스템 복구를 서두르다 핵심 증거를 보존하지 못하는 경우다. 문홍식 팀장은 “정확한 규모 파악이 끝나지 않더라도 인지 시점부터 72시간 내 신속히 신고해야 한다”면서 “사고 발생 시점부터 타임라인과 커뮤니케이션 기록을 남기고, 복구 과정에서도 로그와 접속 기록 등 증거 자산을 보존해야 한다”고 당부했다.

IT동아 김예지 기자 (yj@itdonga.com)