[종합] 카드번호·CVC까지 털렸다…롯데카드, 297만명 회원 정보 유출

주민번호·카드 비밀번호·CVC 등도 포함
28만 명은 2차 피해 가능성…즉시 재발급 조치
조좌진 사장 "피해 전액 보상…사임도 고려"
나신평 "과징금만 최대 800억 원 추산"

롯데카드는 최근 발생한 해킹 사고로 297만 명 회원 정보가 유출됐다고 밝혔다. 그중 28만 명은 유출 정보로 인해 카드 부정 사용 가능성이 있는 것으로 조사됐다. 롯데카드 측은 피해 발생 시 전액 보상하겠다고 재차 강조했다. 조좌진 롯데카드 사장은 사임도 고려 중이라고 했다.

조 사장은 18일 오후 서울 중구 부영태평빌딩에서 사이버 침해 사고에 대해 대고객 사과문을 발표하고 사건 경위를 설명했다. 조 사장은 "고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다"고 사과했다.

롯데카드에 따르면 정보가 유출된 총 회원 규모는 297만 명이다. 전체 960만 명 중 약 3분의 1에 가까운 회원 정보가 유출된 셈이다. 피해 데이터 규모는 약 200기가바이트(GB)로, 당초 롯데카드가 금융당국에 신고한 1.7GB의 100배가 넘는 것으로 최종 확인됐다.

세부 유출 항목은 △연계정보(CI, Connecting Information) △주민등록번호 △가상결제코드 △내부식별번호 △간편결제 서비스 등이다. 롯데카드는 개인별로 유출 항목에 차이가 있다고 밝혔다.

롯데카드는 피해 고객 가운데 약 28만 명은 카드번호, 비밀번호(앞 두 자리), CVC, 유효기간 등 핵심 카드 정보가 유출돼 부정 사용 등 2차 피해 가능성이 있다고 설명했다. 특히 이들은 7월 22일부터 8월 27일 사이 신규 페이 결제 서비스나 커머스 사이트에 카드 정보를 등록한 고객들로 확인됐다고 롯데카드 측은 밝혔다.

조 사장은 "28만 명의 경우 국내에서 일반적인 결제 사용은 불가능하지만 일부 특수 결제 방식(키인 결제 등)을 통한 부정사용 가능성이 있다"며 "다만 현재까지 부정 사용 사례는 없는 것으로 확인됐다"고 설명했다.

그러면서 피해 구제 방안으로 전액 보상 방침을 밝혔다. 조 사장은 "고객께 그 어떤 피해 사실이라도 발생하면 롯데카드가 전액 보상하겠다"며 "고객정보 유출로 인한 2차 피해에 대해서도 그 연관성이 확인된 경우 롯데카드에서 전액 보상을 하겠다"고 밝혔다.

그는 "부정사용 가능성이 있는 고객 28만 명에게는 재발급 안내 문자를 추가로 발송하고, 안내전화도 병행해 '카드 재발급' 조치가 최우선적으로 이루어지도록 하겠다"고 약속했다. 카드 재발급 시 내년도 연회비는 면제 된다.

일각에서는 이번 사태로 롯데카드에 부담해야 할 과징금만 수백억 원에 이를 것으로 예상했다. 나이스신용평가는 "최근 금융감독원은 보안사고와 관련해 무관용 원칙을 강조하고 있고, 정보통신망법상 고객정보 유출 시 매출액의 최대 3%까지 과태료 부과가 가능하다"며 800억 원의 과징금을 부과받을 가능성이 있다고 추산했다.

롯데카드는 고객 정보가 유출된 고객 전원에게 연말까지 결제 금액과 관계 없이 무이자 10개월 할부 서비스를 무료로 제공하기로 했다. 회원들이 카드사용 내역을 실시간 확인할 수 있도록 카드사용 알림서비스도 연말까지 무료로 제공한다.

정보보호 관련 투자도 확대한다. 향후 5년간 1100억원의 투자를 집행해 정보보호 예산 비중을 업계 최고 수준인 15%까지 늘린다는 계획이다.

대대적 인적 쇄신도 단행한다. 조 사장은 "(연말까지) 저의 사임까지 포함한 인적 쇄신을 약속하고 고객 중심의 구조 체계로 재구성하겠다"고 강조했다.

조 사장은 'MBK파트너스가 롯데카드를 인수한 뒤 보안 투자가 미흡했다는 지적이 있다'는 질문에 대해서는 "MBK가 롯데카드를 인수한 것은 2019년 3월로, 당시 정보보호 인력은 19명, 투자 규모는 약 71억 원 수준이었다"며 "제가 이듬해 부임한 이후 매년 인력과 투자를 확대해 현재는 인력이 30명, 투자비용도 128억 원까지 늘었다"고 해명했다.

그러면서 "투자와 노력을 나름대로 해 왔다고 생각하지만 그런 노력이 이번 침해 사태를 막을 만큼 충분했냐고 묻는다면 반성의 여지가 남는다"며 "결국 최고경영자(CEO)인 제가 책임을 져야 한다고 생각하고 있다"고 덧붙였다.

키인 결제를 통한 부정 사용 가능성에 대해서는 "특정 오래된 가맹점이나 해외 특정 가맹점의 경우 키인 거래가 있는 걸로 안다"며 "전체 330만 가맹점 중 0.15% 정도에서 키인 결제가 이뤄지고 있는 것으로 안다"고 롯데카드 측은 설명했다.

한편 최근 이동통신사에 이어 롯데카드에서도 대규모 해킹 사고가 발생하면서 정부 차원의 사이버 보안 공조 체계를 재정비해야 한다는 목소리가 커지고 있다. 현재 금융사 해킹·정보 유출 사고는 금융위원회 관리 아래 금융보안원이 대응을 맡고 있지만 금융권 외부에서 발생하는 보안 사고는 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 담당하고 있다. 이처럼 대응 창구가 이원화돼 있어 이를 하나로 통합해야 한다는 지적이 제기된다.

▲조좌진(왼쪽 다섯 번째) 롯데카드 대표이사와 임직원들이 18일 서울 중구 부영태평빌딩에서 사이버 침해 사고에 대한 사과를 하고 있다. 조현호 기자 hyunho@

이재명 대통령은 이날 열린 수석보좌관 회의에서 "주요 통신사 그리고 금융기관에 대한 해킹으로 국민 피해가 계속 늘고 있다"며 "기업에 책임을 묻는 것도 필요하지만 갈수록 진화하는 해킹 범죄에 맞서서 범정부 차원의 대응 방안을 수립해야 한다"며 종합 대책을 수립을 예고했다.