조좌진 롯데카드 대표가 앞선 해킹사고에 대한 늑장 보고가 이뤄졌다는 지적에 대해 해명했다. 사진은 24일 오전 서울 여의도 국회에서 열린 청문회에서 발언하는 조 대표. /사진=뉴시스


조좌진 롯데카드 대표가 24일 악성 감염코드 사실을 금융감독원에 뒤늦게 보고했다는 국회 지적에 대해 "침해행위 및 사고를 구분하고 있다"며 침해행위만으로는 보고 의무가 없다는 취지로 해명했다.


조 대표는 이날 오전 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 '대규모 해킹사고(통신·금융) 관련 청문회'에서 "악성코드가 발견됐을 때라도 신속히 당국에 신고했다면 피해를 막을 수 있는 것 아니었나"라는 질문에 이같이 밝혔다.

롯데카드에서 악성코드 감염을 처음 확인했던 건 최초 해킹 공격 시도가 이뤄진 지 2주 만인 지난달 26일이다. 하지만 당국에 접수된 해킹사고 신고는 최초 파악 이후 6일이 흐른 지난 1일에 이뤄졌다.


이를 두고 롯데카드 측은 악성코드 감염만으로는 보고 의무가 발생하지 않는 일반적인 침해인 가운데 시스템 장애 등 실제 피해 발생 시 보고의무가 발생한다고 설명했다. 지난달 31일 당시에는 개인정보 유출 여부를 확인하기 어려운 상황이었다는 것이다.

조 대표는 또 8년 전 보강되지 않은 전산 시스템으로 해킹사태가 벌어졌다고 봤다.


그는 "온라인 결제 서버 내에 있는 웹 로직 프로그램이 2017년 후 업그레이드되지 않아 허점이 발생했다"며 "해당 프로그램 48개에 대한 보강 작업이 모두 진행됐어야 하는데 그중 하나를 놓쳤다"고 말했다. 웹 로직은 글로벌 IT 기업 오라클이 개발한 웹 서버를 의미한다. 통상 전산 시스템 등의 보안을 담당한다.

현재는 전수 조사를 진행해 시스템을 보완했다고 조 대표는 전했다.


조 대표는 사임 의사도 밝혔다.

조 대표는 앞서 이해민 조국혁신당 의원이 "사임을 비롯한 인적 쇄신을 고려 중인가"라는 질문에 "그렇다"고 답했다.

조 대표는 지난 18일 기자간담회에서도 "사임을 포함해 충분히 시장에서 납득할 만한 인적 쇄신하겠다고 약속드린다"고 강조한 바 있다.