롯데카드, 297만명 정보유출···조좌진 "전액 보상·인적쇄신 약속"

[서울파이낸스 박영선 기자] 롯데카드는 18일 해킹 사고로 총 297만명의 고객 정보가 유출됐다고 밝혔다.

롯데카드 조좌진 대표이사는 이날 서울 중구 부영태평빌딩에서 언론 브리핑을 열고 대고객 사과와 함께 고객정보 유출 정황과 지원 방안을 발표했다. 

사고 규모 설명에 앞서 고개를 숙인 조 대표는 "고객 여러분의 소중한 정보를 관리하는 금융회사로서, 보안 관리에 있어 중대한 미흡과 부족함이 있었다는 것은 어떠한 이유로도 용서될 수 없는 일"이라며 "이로 인해 고객분들이 느끼신 불편과 심려에 다시 한번 깊이 사과드린다"고 전했다. 

롯데카드는 지난 8월 26일 온라인 결제 서버에서 외부 해커 침해 흔적을 발견, 정밀조사를 진행해 3개 서버에서 2종의 악성코드와 5종의 웹쉘을 발견해 삭제 조치했다고 전했다. 

그러나 같은 달 31일 온라인 결제 서버에서 해커가 1.7기가바이트(GB) 분량의 데이터 반출을 시도했던 정황을 발견, 이달 1일 당국에 침해 사고 사실을 알렸다. 이후 당국의 현장조사 과정에서 200기가바이트(GB) 분량의 데이터가 추가 유출된 사실이 확인됐다. 

롯데카드는 유출 파일을 포렌식 했음에도 정보 유출 경로를 파악할 수 없었다고 전했다. 해커가 파일 유출 후 서버 내 파일을 삭제, 유출 내용은 특정하지 못했다는 설명이다. 해커는 현재 수사중으로, 국적과 신상은 밝혀진 바 없다. 

이번 해킹 사고로 피해를 입은 회원 규모는 총 297만명이다. 이 중 유출된 고객정보로 카드 부정사용이 발생할 가능성이 있는 고객은 28만명으로, 카드번호·비밀번호(2자리)·유효기간·CVC와 함께 고객정보(CI·주민번호·생년월일·전화번호 등)가 유출됐다. 

또한 47만명은 카드번호(암호화)와 고객정보(CI·주민번호 등)가 유출됐으며 가상결제코드와 결제요청금액을 포함한 온라인 결제정보가 빠져나갔다. 나머지 222만명은 암호화 된 카드번호와 온라인 결제정보가 유출된 것으로 드러났다. 

7월 22일과 8월 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터로 한정되며, 오프라인 결제와는 무관하다. 

조 대표는 "17일 저녁 6시 기준 28만명 중 5만5000명에 대해서는 카드 재발급과 사용 정지, 회원 탈회가 완료돼 해당 분에 대해서는 리스크가 상쇄됐다"고 설명했다. 

세부 유출 항복은 CI(Connecting Information, 연계정보), 주민등록번호, 가상결제코드, 내부식별번호, 간편결제 서비스 종류 등으로 개인별로 유출 항복에 차이가 있다. 회원별 유출 정보 세부 항목은 홈페이지 '개인신용정보 유출 여부 확인'에서 조회할 수 있도록 조치하고 정보가 유출된 회원에 개별 안내 메세지를 발송하고 있다. 

롯데카드는 이번 침해 사고로 인한 피해액 전액을 보상하겠다고 밝혔다. 고객정보 유출로 인한 2차 피해도 연관성이 확인될 경우 전액 보상할 방침이다. 

먼저 고객 정보가 유출된 297만 고객 전원에 대해서는 고객정보 유출 안내 메세지를 발송하며, 이 중 부정사용 가능성이 있는 고객 28만명에게는 재발급 안내 문자를 추가로 발송한다. 안내전화도 병행할 방침이다. 

또한 이상거래탐지시스템(FDS) 모니터링을 격상한다. 해외 온라인 결제 시 기존 결제 이력이 없는 가맹점의 결제 건은 전화 본인 확인 후에만 승인, 국내 결제 또한 강화된 사전 사후 모니터링을 진행해 부정 결제 가능성에 대비한다는 입장이다. 

현재 부정거래 가능성이 있는 해외 결제를 차단한 상태이나, 이미 주민등록번호가 유출된 고객의 경우 사전 대응이 늦었다는 지적도 제기됐다. 최재용 롯데카드 마케팅본부장은 "고객 동의 없이 카드 승인을 막으면 자동결제 이용 고객들의 연체 피해 등 불이익이 더 클 수 있다고 판단해 해외결제 거래 내역이 한번도 없는 고객에 한해서만 결제를 선제 차단했다"고 설명했다. 

또한 롯데카드는 이번 해킹 사고 피해 고객 전원에게 연말까지 금액과 무관하게 무이자 10개월 할부 서비스를 무료로 제공한다. 특히 피해 가능성이 큰 최우선 재발급 대상 28만명에 한해 카드 재발급 시 차년도 연회비를 한도 없이 면제한다. 롯데카드는 이로 인해 발생할 연회금 부담금을 약 56억원으로 추산하고 있다. 

일각에서는 롯데카드 대주주인 사모펀드 MBK파트너스가 비용절감을 목적으로 단기 실적에만 치중해, 정보보안 투자를 소홀했을 가능성을 제기한 바 있다. MBK파트너스는 홈플러스 사태로 현재 금감원의 재조사를 받고 있다. 

다만 롯데카드는 2019년 MBK파트너스가 대주주로 변경된 후 정보보안 투자는 오히려 늘었다고 해명했다. 

조 대표는 "2019년 IT부문 투자 중 정보보안에 투입된 금액은 71억, 내부인력은 19명이었으나 2025년에는 128억원, 내부인력 30명으로 두 배 가까이 늘었다"며 "그럼에도 이번 침해 사태를 막지 못해 반성의 여지가 남았고, 가장 큰 책임은 CEO인 제가 져야 한다고 생각한다"고 말했다. 

롯데카드는 향후 5년간 1100억원의 정보보호 관련 투자를 집행, 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대한다. 해마다 220억원 가량을 투입하는 셈이다. 통상 당국이 제시하는 정보보안 투자 비중은 전체 IT부문 투자의 7%인 것으로 알려졌다. 

대표이사를 포함한 인적 쇄신도 감수한다. 조좌진 대표는 내년 3월 임기 만료가 예정돼 있다. 그는 "고객 중심의 구조 체계를 만들겠다는 철학 하에 조직을 재구성 할 것"이라며 "저의 사임까지 포함해, 충분히 시장에서 납득할 만한 인적쇄신을 하겠다고 약속한다"고 전했다. 

당국 차원의 제재와 과징금 등 중징계 처분에 대해서는 "롯데카드 자체 피해를 줄이기 위해서 어떤 행동을 할 것인가는 전혀 중요하지 않다"며 "발생한 일을 명확히 해결하고 이를 통해 롯데카드가 다시 선택 받을 수 있는 카드사로 돌아가는 데 주안점을 둘 것"이라고 강조했다.