롯데카드 해킹 피해 297만명…“부정 사용은 없어도 전액 보상”

【서울 = 서울뉴스통신】 신현성 기자 = 롯데카드가 해킹 공격으로 총 297만 명의 회원 정보가 유출됐다고 공식 확인했다. 이번에 빠져나간 데이터는 약 200GB 규모로, 유출 범위가 초기 발표보다 100배 이상 확대됐다. 특히 이 중 28만 명의 경우 카드번호, 비밀번호 일부, CVC번호까지 포함돼 부정 사용 가능성이 높은 것으로 드러났다.

롯데카드는 18일 서울 부영태평빌딩에서 언론 브리핑을 열고 이번 사이버 침해 경위를 설명하며 대국민 사과했다. 조좌진 롯데카드 대표는 “침해 사고로 고객에게 발생한 피해액은 전액 보상하겠다”며 “연말까지 무이자 10개월 할부, 금융피해 보상 서비스, 카드사용 알림 서비스 등을 무료로 제공하겠다”고 밝혔다.

유출된 정보는 △CI(연계 정보) △주민등록번호 △가상결제코드 △내부식별번호 △간편결제 서비스 종류 등으로, 고객 이름은 포함되지 않았다. 다만 카드번호와 비밀번호 2자리, CVC번호까지 유출된 28만 명은 국내외 일부 가맹점에서 사용되는 키인 결제 방식으로 부정 거래가 가능해, 롯데카드는 해당 거래를 사전 차단하는 조치를 시행했다. 현재까지 실제 부정 사용 사례는 확인되지 않았다.

유출 고객의 다수인 269만 명은 CI와 가상결제코드 등이 빠져나갔지만, 단독으로는 카드 부정 사용이 불가능하다는 게 회사 측 설명이다. 롯데카드는 이들 고객 역시 피해 발생 시 전액 보상할 방침이다. 특히 카드 재발급이 필요한 28만 명에게는 차년도 연회비를 전액 면제한다. 평균 연회비 2만 원 기준 최소 56억 원의 비용이 투입될 예정이다.

이번 공격은 지난달 14일 발생했으나 롯데카드는 31일에서야 본격 인지했다. 당시에는 1.7GB 규모로 파악했으나, 실제로는 4700여 개로 잘게 쪼갠 200GB 데이터를 빼돌린 사실이 확인됐다. 조 대표는 “초기엔 압축 파일이 교묘히 삭제돼 확인이 늦어졌다”며 “암호화 파일을 복구하고 고객별 매칭을 진행하는 데 시간이 걸렸다”고 해명했다.

보안 강화를 위해 롯데카드는 FDS(이상거래탐지시스템) 모니터링을 격상해 해외 온라인 결제 시 본인 확인 절차를 강화하고, 국내 결제도 사전·사후 모니터링을 확대한다. 또한 온라인 결제 서버와 운영체제를 전면 교체하고, 주요 계정 접속 관리와 데이터 암호화 수준을 3개월 내 고도화할 계획이다.

조 대표는 “이번 사태를 단순한 해킹 사건이 아닌 경영 전반 혁신의 계기로 삼겠다”며 “대표이사로서 책임을 통감하고, 연말까지 대대적인 인적 쇄신을 추진하겠다”고 밝혔다. 이어 “향후 5년간 1100억 원을 투입해 IT 예산 대비 정보보호 예산 비중을 15%까지 끌어올리겠다”고 덧붙였다.

업계에서는 최대주주 MBK파트너스의 수익 중심 경영으로 보안 투자가 부족했다는 지적도 나온다. 이에 대해 롯데카드는 최근 수년간 정보보호 예산을 꾸준히 늘려왔다고 해명했지만, 이번 사태를 예방하지 못한 책임은 피하기 어려운 상황이다.