롯데카드 297만명 정보 유출… “피해발생시 전액 보상” (종합)

최근 사이버 침해사고를 당한 롯데카드의 해킹 데이터 규모가 당초 보고된 수준을 크게 웃돌며 200GB에 달하는 것으로 확인됐다. 회원 960만명 가운데 297만명의 개인 정보가 유출됐고, 이중 카드번호와 CVC 번호 등 핵심 결제 정보까지 빠져나간 고객은 28만명에 달한다. 이에 조좌진 대표는 사임을 포함한 대대적인 인적 쇄신을 약속했다.

18일 롯데카드는 서울 중구 부영태평빌딩에서 긴급 기자회견을 열고 피해 현황과 대응책을 발표했다. 유출된 고객 정보는 온라인 결제 과정에서 생성·수집된 데이터로 ▲연계정보(CI) ▲주민등록번호 ▲가상 결제코드 ▲내부 식별번호 등이 포함됐다. 고객 이름은 포함되지 않았다.

문제는 약 28만명 고객의 카드번호, 비밀번호 일부(2자리), CVC번호까지 함께 유출됐다는 점이다. 회사 측은 해당 고객이 실제 부정 사용에 노출됐을 가능성을 배제할 수 없다고 밝혔다. 이에 롯데카드는 카드 재발급을 즉시 진행하며, 피해 발생 시 전액 보상 방침을 밝혔다.

나머지 269만명은 CI·가상결제코드 등이 유출됐다. 이 정보만으로는 카드 부정사용이 불가능하다는게 롯데카드측 설명이다. 다만 피해 사실이 발생하면 이들 또한 롯데카드가 전액 보상하기로 했다.

회사는 이날부터 유출된 고객 297만명 전원에게 안내 메시지를 발송한다는 방침이다. 특히 부정사용 위험이 있는 28만명에게는 카드 재발급 안내 문자와 함께 별도의 안내 전화를 병행한다. 해당 고객의 경우 재발급 시 차년도 연회비를 한도 없이 면제할 예정이다.

또 유출된 고객 전원에게는 연말까지 금액과 관계없이 무이자 10개월 할부 서비스를 제공한다. 피해 고객 보호를 넘어 소비자 신뢰 회복 차원의 지원책이라는 입장이다.

동시에 FDS(이상거래탐지시스템) 모니터링을 격상 운영한다. 해외 온라인 결제의 경우 기존 결제 이력이 없는 가맹점에서는 전화 본인 확인 절차를 거쳐야만 승인이 가능하다. 국내 결제 역시 사전·사후 모니터링을 강화해 부정 결제에 대응한다.

아울러 롯데카드는 향후 5년간 1100억원의 정보보호 예산을 투입하기로 했다. 정보보호 예산 비중을 업계 최고 수준인 15%까지 늘리겠다는 방침이다. 이를 위해 자체 보안관제 체계를 구축해 24시간 실시간 통합보안을 강화하고, ‘레드팀’ 조직을 신설해 해킹 침입을 가정한 모의 훈련을 상시화한다. 전사 IT 인프라도 정보보호 중심으로 전면 개편하기로 했다.

온라인 결제 시스템의 서버, 운영체제(OS), 소프트웨어 환경을 전면 교체하고, 네트워크 보안 및 데이터 암호화 관리도 3개월 내 고도화를 마칠 계획이다.

조좌진 대표는 “정보 유출은 온라인 결제 서버에 국한해 발생했으며, 오프라인 결제와는 무관하다”며 “이번 사고로 발생한 피해에 대해서는 회사가 책임지고 전액 보상하겠다”고 강조했다. 또 향후 2차 피해 발생 시에도 연관성을 확인해 전액 보상하겠다는 입장을 밝혔다.

아울러 조 대표는 연말 전 퇴진 가능성을 직접 시사했다. 조 대표는 “이번 침해 사태에 대해 대표이사로서 깊은 책무감을 느끼고 반성하고 있다”며 “사임을 포함한 대대적인 인적 쇄신을 연말까지 마무리하겠다”고 말했다. 조좌진 대표의 임기는 내년 3월까지다. 

전대현 기자
jdh@chosunbiz.com