롯데카드, 297만명 정보유출 '2차피해' 우려…정부 고강도 문책 예고

롯데카드 회원 297만명의 정보가 유출됐다. 이중 28만명은 카드 비밀번호 앞 2자리와 CVC(카드 뒷면 3자리 번호)까지 노출돼 2차 피해가 우려가 나온다. 금융당국은 롯데카드에 강도 높은 책임을 묻기로 했다.

조좌진 롯데카드 대표는 18일 서울 중구 부영태평빌딩에서 기자회견을 열고 "최근 발생한 저희 회사의 사이버 침해 사고로 고객 여러분께 크나큰 불안과 심려를 끼쳐드린 점에 진심으로 죄송하다"고 고개를 숙였다.

이날 롯데카드가 발표한 해킹 사고 조사 결과에 따르면 유출된 회원 규모는 전체 회원(960만명) 3명 중 1명에 해당하는 297만명이다. 피해자 가운데 28만명은 주민등록번호와 생년월일에 더해 카드번호·비밀번호 2자리, 유효기간, CVC 번호가 해킹당하는 피해를 입었다. 나머지 269만명은 암호화된 카드번호와 고객정보(주민등록번호) 등이 유출되는 피해를 봤다.

CVC 번호 등이 유출된 28만명은 국내외에서 부정사용 거래를 당할 위험이 있다. 카드번호와 유효기간, CVC 값을 직접 단말기에 입력하는 키인(Key-in) 방식을 이용하면 특별한 본인 인증 없이도 카드를 사용해 결제할 수 있다. 해외 일부 온라인 쇼핑몰에서 키인 방식을 사용하고 있다. 국내에서도 키인 방식을 사용하는 가맹점 비율이 1.15%다. 다만 롯데카드는 카드를 복제해 오프라인에서 사용할 가능성은 없다고 선을 그었다.

롯데카드는 지난달 26일 온라인 결제 서버에서 외부 해커 침해 흔적을 발견했다. 3개 서버에서 2종의 악성코드와 5종의 웹 셸(공격 프로그램)을 발견해 즉시 삭제 조치했다. 31일 낮 12시, 온라인 결제 서버에서 외부 공격자가 1.7GB 분량의 데이터 반출을 시도했던 흔적을 발견했다. 이달 1일에 금융감독원에 침해 사실을 보고했다.

하지만 이후 조사 과정에서 반출 데이터 분량이 200GB인 것으로 드러났다. 전날 특정 고객의 신용정보가 유출된 사실을 최종적으로 확인했다.

롯데카드는 이번 침해 사고로 발생한 모든 손실을 고객에게 전가하지 않겠다고 밝혔다. 롯데카드는 모든 정보유출 피해고객에게 개별 안내 메시지를 보냈다. 부정 사용 가능성이 있는 고객 28만명에게는 카드 재발급 안내 문자와 전화 통화를 병행하고 있다.

또 유출 피해를 입은 회원 전원에 연말까지 금액과 상관없이 10개월 무이자 할부 서비스를 무료로 제공한다. 피싱, 해킹 등 금융사기 또는 사이버 협박에 의한 손해 발생을 보상하는 '크레딧케어'와 카드 사용 내역을 확인할 수 있는 '카드사용 알림서비스'도 연말까지 무료로 제공한다. 카드 재발급이 필요한 28만명 고객에는 차년도 연회비를 한도 없이 면제할 계획이다.

조 대표는 "이번 사태를 단순한 해킹 사건이나 보안 문제로 보지 않고, 경영 전반의 메커니즘을 근본부터 혁신하는 계기로 삼고자 한다"며 "향후 5년간 1100억원의 정보보호 관련 투자를 집행함으로써 IT 예산 대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대할 것"이라고 밝혔다.

정부는 롯데카드 사고 원인을 규명하고 책임을 묻기로 했다. 금융위원회 관계자는 "금융감독원 검사를 통해 위규사항을 낱낱히 밝혀 허술한 보안체계에 대해서 강도높은 책임을 물을 예정"이라며 "허술한 개인정보와 정보보안 관리 사항에 대해서는 최대 수준의 엄정한 제재를 진행할 방침"이라고 밝혔다.