해킹된 297만명 중 CVC 번호 노출 28만명 부정사용 가능성 … 속히 카드 재발급해야

조좌진 롯데카드 대표는 이날 오후 서울 중구 부영태평빌딩에서 기자회견을 열어 이같이 밝히고 “고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다”고 밝혔다.

롯데카드에 따르면 고객 정보가 유출된 총회원 규모는 297만 명으로, 온라인 결제 서버에서 정보 유출이 발생한 것으로 조사됐다. 전체 유출 고객 중 유출된 고객정보로 카드 부정 사용으로 이어질 가능성이 있는 고객은 총 28만명으로 확인됐다.

이번에 유출된 회원 정보는 지난 7월 22일부터 8월 27일 사이 온라인 결제 과정에서 생성·수집된 데이터로 연계 정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류 등이다. 고객의 이름은 유출되지 않았다.

269만명의 고객의 경우 CI, 가상결제코드 등이 유출돼 카드부정 사용이 불가하다. 다만 28만명의 경우 국내에서 일반적인 결제 사용은 불가능하나 일부 특수 결제 방식을 통해서는 부정사용이 가능하다고 롯데카드는 설명했다.

롯데카드는 침해 사고로 인해 발생한 피해에 대해서는 피해액 전액을 보상한다는 방침이다. 고객정보 유출로 인한 2차 피해에 대해서도 그 연관성이 확인된 경우 롯데카드에서 전액 보상한다.

롯데카드는 고객 피해 제로화를 최우선 과제로 삼고 대표이사 주재로 전사적 비상대응체계를 가동한다는 방침이다.

롯데카드는 고객정보가 유출된 297만 고객을 대상으로 개별적인 고객정보 유출 안내 메시지를 발송할 방침이다. 특히 부정사용 가능성이 있는 고객 28만명을 대상으로는 재발급 안내 문자 발송 및 안내전화를 병행할 예정이다.

고객정보가 유출된 고객 전원에게는 연말까지 금액과 관계없이 무이자 10개월 할부 서비스를 무료로 제공한다.

또 향후 5년간 1100억원의 정보보호 관련 투자를 집행하고, IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대할 방침이다.

조 대표는 "이번 사태를 단순한 해킹사건이나 보안문제로 보지 않고 경영 전반의 매커니즘을 근본부터 혁신하는 계기로 삼고자 한다"며 "대표이사인 저를 포함해 대대적인 인적쇄신을 연말까지 완료하겠다"고 밝혔다.

이어 "앞으로 고객 피해를 제로화하고 고객분들의 불편을 최소화하는 임무가 제가 롯데카드 대표이사로서의 마지막 책무라는 결연한 마음가짐으로 최선을 다할 것을 약속드린다"고 강조했다

앞서 롯데카드는 이달 1일 일부 서버에서 악성코드 감염 사실을 금융당국에 신고했고, 금감원은 다음 날 금융보안원과 함께 현장검사에 착수했다. 당초 롯데카드가 보고한 유출 규모는 1.7기가바이트(GB)였지만 현장 조사 결과 실제 유출 데이터는 200GB에 달하는 것으로 파악됐다. 

이는 지난달 31일 롯데카드가 금감원에 신고하며 추산했던 1.7GB의 약 100배에 해당한다. 당시 롯데카드는 지난 8월 14~15일 이틀 동안 온라인 결제 서버(WAS 서버)가 해킹됐음에도 당시에는 고객 정보 유출이 없다고 보고했다. 또한 해킹 발생 후 해킹 발생 후 17일이 지나서야 피해 사실을 파악한 것으로 알려졌다.

롯데카드는 올 상반기 기준 967만 명의 고객을 보유한 업계 6위 카드사다.

앞서 이찬진 금감원장 역시 지난 16일 열린 여신전문회사 최고경영자(CEO) 간담회에서 “최근 금융권 사이버 침해 사고는 단기 실적에 치중해 장기 투자가 소홀해진 결과가 아닌지 뼈아픈 자성의 계기로 삼아야 한다”며 “위반 사례에 대해서는 엄정하고 무거운 책임을 물을 것”이라고 경고했다.

대규모 고객 정보 유출이 확인되면서 롯데카드는 금융당국의 중징계를 피하기 어려울 것으로 보인다. 과징금 규모는 수백억원대에 이를 가능성이 크며, 영업정지까지 내려질 경우 손실은 막대할 전망이다. 실제로 롯데카드는 2014년 1월에도 고객 정보가 대규모로 유출돼 국민·농협카드와 함께 3개월 영업정지 처분을 받은 바 있으며, 당시 3사가 입은 손실은 약 1600억원에 달했다.