[현장] 롯데카드, 해킹으로 297만명 고객 정보 유출…“전액 보상·보안 강화”

[인더스트리뉴스 김은경 기자] 롯데카드가 외부 해킹 공격으로 약 297만 명에 달하는 고객 정보가 유출된 사실을 공식 확인하고, 전액 보상과 대대적인 보안 강화 대책을 발표했다.

조좌진 롯데카드 대표는 18일 오후 서울 중구 부영태평빌딩에서 긴급 기자회견을 열고 “이번 사고로 고객 여러분과 유관 기관에 큰 심려를 끼쳐 진심으로 사과드린다”며 유출 사실과 향후 대응 방안을 밝혔다.

롯데카드는 국내 카드사 중 업계 5위 규모로, 현재 약 960만 명의 회원을 보유하고 있다. 이번 정보 유출은 전체 고객의 약 3분의 1에 해당하는 대규모 사고에 해당된다.

유출 정보, 최대 28만명 카드 부정사용 가능성

회사 측에 따르면 유출된 정보는 온라인 결제 과정에서 수집된 데이터로 ▲연계정보(CI) ▲주민등록번호 ▲가상 결제코드 ▲내부 식별번호 ▲간편결제 서비스 종류 등이 포함됐다.

특히 이 가운데 약 28만 명의 고객은 카드번호, 유효기간, CVC번호 등 실제 결제에 악용될 수 있는 정보까지 유출됐다. 조 대표는 “이들은 단말기에 카드 정보를 직접 입력해 결제하는 '키인(Key-in)' 거래 시 부정사용 가능성이 있다”고 설명했다.

해당 고객은 지난 7월 22일부터 8월 27일 사이에 새로운 간편결제 서비스나 커머스 사이트에 카드 정보를 등록한 이력이 있는 것으로 확인됐다.

"고객 피해 전액 보상…2차 피해도 책임질 것"

롯데카드는 이번 사고로 인한 모든 피해를 전액 보상하겠다고 약속했다. 조 대표는 “2차 피해 역시 정보 유출과의 연관성이 확인되면 전액 보상하겠다”며 “고객 피해 ‘제로화’를 최우선 과제로 삼겠다”고 강조했다.

이와 함께, 피해 고객 지원 방안도 발표했다.

카드 재발급 대상 고객(28만 명)에게는 다음 해 연회비 전액 면제

유출 고객 전원에게는 올해 말까지 무이자 10개월 할부 서비스를 결제 금액과 관계없이 무료로 제공할 방침이다.

롯데카드는 지난 1일 금융당국에 해킹으로 인한 1.7GB 규모의 데이터 유출 사실을 처음 신고했지만, 이후 조사 과정에서 실제 유출된 데이터는 약 200GB 규모로 훨씬 큰 것으로 드러났다.

조 대표는 사고 경위에 대해 “8월 26일 온라인 결제 서버에서 외부 침입 흔적을 처음 발견했고, 8월 31일에는 1.7GB 분량의 데이터 반출 시도를 확인했다”면서 “9월 2일부터 금융감독원과 금융보안원의 현장 점검이 시작됐고, 이후 200GB 분량의 추가 유출 정황을 확인했다”고 밝혔다.

최종적으로 유출 사실이 확정된 것은 전날인 9월 17일이다. 실제 해킹은 8월 14일부터 시작된 것으로 추정되며, 한 달 넘게 사고를 인지하지 못한 점에서 롯데카드의 대응 부실도 도마 위에 올랐다.

보안 강화·인적 쇄신…“1100억 투자”

롯데카드는 이번 사고를 계기로 전사적인 보안 강화와 조직 쇄신에 나서겠다고 밝혔다.

조좌진 대표는 “향후 5년간 약 1100억 원을 투입해 자체 보안 관제 체계를 구축하고 정보보호 역량을 강화하겠다”며 “대표이사인 저를 포함해 연말까지 대대적인 인적 쇄신도 단행할 계획”이라고 약속했다.

조 대표는 이어 “대표로서 고객 피해를 최소화하고 신뢰를 회복하는 것이 마지막 책무라 생각한다”고 말했다.