카드·CVC·주민번호까지...롯데카드, 297만명 회원정보 유출

▲조좌진 롯데카드 대표이사가 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대한 대고객 사과를 하기 위해 이동하고 있다.

롯데카드에 대한 사이버 공격의 피해 규모가 총 297만명으로 집계됐다. 200기가바이트(GB)에 달하는 데이터가 반출되면서 전체 회원(약 960만명)의 30%가 넘는 인원의 정보가 유출된 것이다. 롯데카드가 금융보안원으로부터 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득한 지 얼마 지나지 않아 대형사고를 맞은 만큼, 인증체계에 대한 신뢰도 및 카드업권에 대한 추가적인 공격 우려도 고조되고 있다.

조좌진 롯데카드 대표는 18일 서울 중구 부영태평빌딩에서 언론브리핑을 통해 연계정보(CI)·카드번호·주민등록번호·CVC 번호·간편결제 서비스 종류 등이 유출됐다고 밝혔다. 고객정보를 활용한 부정 사용 가능성이 있는 고객은 28만명이다.

롯데카드는 269만명의 고객은 별도의 카드 재발급이 필요하지 않다는 입장이다. 오프라인 결제의 경우 IC 및 마그네틱 실물카드 복제에 필요한 정보가 없으므로 부정 사용의 소지가 없다고 못박았다. ATM을 통한 장기카드대출(카드론)과 현금서비스도 불가능하다고 강조했다.

온라인 결제도 SMS 또는 지문을 비롯한 추가 본인인증이 필요할 뿐더라 개인별로 유출된 항목이 다르다는 점을 들어 유출된 정보로는 부정사용이 불가능한 수준이라고 일축했다. 일부 키인 거래의 경우 부정사용 가능성이 있지만, 현재까지 관련 사례가 확인되지 않았다고 발언했다.

그러나 고객이 비밀번호 변경, 해외거래 차단, 카드 재발급을 신청하면 신속하게 대응한다는 방침이다. 상담센터 인력을 확충했고 카드 재발급 역량도 끌어올렸다고 설명했다.

조 대표는 △'시장에서 납득 가능한' 인적쇄신 △정보보호 투자 대폭 확대 △전담 레드팀 신설 △온라인 결제 시스템 서버·운영체계 전면교체 등 재발방지책을 발표했다. 이번 사태를 단순 보안 사고로 보지 않고 전면적인 경영 매커니즘의 혁신 계기로 삼겠다는 다짐이다.

조 대표는 인적쇄신에 대한 질문에 대해 대표이사 사임이 가능하다고 시사했다. 정보보호 관련 예산은 향후 5년간 1100억원 규모로 끌어올린다. IT 예산 대비 정보보호 예산을 업계 최고 수준인 15%까지 높인다는 것이다.

▲롯데카드.

롯데카드는 297만명에 대해 이날부터 개별적으로 고객정보 유출 안내 메세지를 보내고, 28만명에게는 재발급 안내 문자와 전화를 병행한다는 방침이다.

정보가 유출된 전 인원에게는 연말까지 금액과 무관하게 무이자 10개월 할부를 제공한다. 해킹 등의 금융사기 및 사이버 협박에 의한 손해 발생시 보상하는 '크레딧 케어' 서비스도 연말까지 무료로 제공한다. 28만명은 재발급시 차년도 연회비가 한도 없이 면제된다.

롯데카드는 지난달 26일 온라인 결제서버에서 외부 해커의 침입흔적을 발견하고, 전 서버에 대한 정밀조사를 한 결과 3개 서버에서 악성코드 2종과 웹셀 5종을 발견해 즉시 삭제했다고 설명했다.

31일 정오경 온라인 결제 서버에서 외부 공격자가 1.7GB의 데이터 반출을 시도했으나, 고객정보 유출이 확인되지 않았다고 덧붙였다. 그러나 9월2일부터 금융감독원과 금융보안원의 조사 과정에서 200GB 규모가 추가적으로 반출된 정황이 나타났다.

조 대표는 “고객 피해를 제로화하고 불편을 최소화하는 것이 마지막 책무라는 각오로 최선을 다하겠다"고 발언했다. 최대주주 MBK파트너스의 책임론에 대해서는 인수 후 관련 예산 및 인력 증가를 이유로 일축했다.

나광호 기자 spero1225@ekn.kr