롯데카드, 개인정보 유출 조기 파악 실패…소비자 집단소송 확산

▲<YONHAP PHOTO-5624> 고개숙여 사과하는 조좌진 롯데카드 대표 (서울=연합뉴스) 서대연 기자 = 조좌진 롯데카드 대표이사가 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다. 2025.9.18 dwise@yna.co.kr/2025-09-18 14:13:35/<저작권자 ⓒ 1980-2025 ㈜연합뉴스. 무단 전재 재배포 금지, AI 학습 및 활용 금지>

롯데카드에서 고객 297만 명의 개인정보가 해킹으로 유출됐음에도, 자체적으로 정확한 규모와 내용을 파악하지 못해 사태를 키운 것으로 드러났다. 사고 발생 후 한 달이 지나서야 피해 사실을 인지한 소비자들은 집단 소송에 나섰다.

21일 연합뉴스에 따르면 롯데카드는 애초 유출량을 실제 피해의 100분의 1 수준인 1.7기가바이트(GB)라고 보고했으며, 유출된 정보 역시 암호화돼 있다며 심각성을 축소한 것으로 전해졌다.

롯데카드는 해커들이 가져간 데이터가 암호화돼 있으므로 개인정보 유출로 보기 어렵다는 태도를 고수했다. 그러나 금융감독원과 금융보안원이 포렌식 조사를 진행한 결과, 카드 비밀번호와 CVC 등 민감한 정보 일부가 암호화되지 않았거나 이미 해제된 상태로 빠져나간 사실이 확인됐다.

그제야 롯데카드는 개인정보 유출을 인정하고, 고객 위험도를 분류하는 작업을 시작했다.

초기에는 1.7GB라던 유출량이 금융당국 합동조사 후에는 200GB에 달하는 것으로 확인됐다. 실제로 롯데카드는 지난 1일 낮게 신고했지만, 이틀 만에 100배 넘는 피해 규모가 드러난 셈이다.

합동 검사로 밝혀낸 사실을 카드사에 맞는지 대조하는 작업 때문에 조사가 길어지면서 지난달 14일 발생한 해킹 사고의 피해 현황은 35일이 지나서야 공식 발표됐다.

롯데카드는 신고 이후에도 보름 가까이 홈페이지에 ‘정보 유출 없음’이라는 공지만 게재하며 피해 사실을 축소했다.

뒤늦게 피해 사실을 알게 된 고객들은 집단 소송을 준비 중이다. 전날 오후 기준, ‘롯데카드 개인정보 유출 집단소송 카페’에 참여 의사를 밝힌 인원은 2200명을 넘어섰다.

피해자들은 “보안 관리 능력이 부족한 데다 축소·늑장 대응으로 피해를 키웠다”며 “아직 부정 사용 사례가 없다고 하지만, 해외 결제나 키인거래(단말기에 카드번호를 직접 입력하는 방식)에서는 위험 가능성이 크다”고 지적했다.

이번 사건은 금융권에서 IT 부문은 급성장했지만, 인력이나 보안 투자를 비용으로만 보는 인식이 근본 원인이라는 분석도 제기된다.

국민의힘 강민국 의원실이 금감원으로부터 받은 자료에 따르면, 지난달 말 금융권 IT 인력은 2만6137명으로 전체 임직원(22만9271명)의 11% 수준이었다. 이는 2023년 10%, 2024년 11%와 비슷한 수준으로, 업무량 증가에 비해 인력과 투자가 늘지 않았다는 지적이다.

롯데카드의 경우 IT 담당 임원은 3명으로 전체 임원 45명의 7%에 불과해 8개 전업 카드사 중 최하위권이었다. 업계 평균은 11% 수준이다.

일각에서는 대주주인 사모펀드 MBK파트너스가 수익 극대화에 집중하면서 보안 투자가 소홀해진 것 아니냐는 비판도 나온다.

사태가 불거지자 롯데카드는 향후 5년간 1100억 원을 정보보호에 투입하고, 관련 예산 비중을 업계 최고 수준인 15%까지 확대하겠다고 밝혔다.