롯데카드 297만명 고객정보 유출… 조좌진 대표 “무한한 책임감 느껴”

시사위크|중구=이미정 기자  롯데카드에서 발생한 해킹사고로 297만명의 회원 정보가 유출된 것으로 확인됐다. 이 중 28만명은 카드번호, 유효기간, 보안코드(CVC),주민등록번호 등의 정보가 대거 유출됐으며, 부정사용 가능성이 있는 것으로 나타났다. 롯데카드는 부정사용 피해 확인 시, 전액 보상하겠다고 밝혔다. 

◇ 롯데카드 해킹피해 눈덩이… 고객정보 유출 현실로 

롯데카드는 18일 오후 1시 30분 서울 중구 부영태평빌딩에서 열린 기자회견에서 이 같은 내용을 밝혔다. 이날 자리는 대국민 사과와 함께 사이버 침해 사고 경위와 고객 보호대책, 피해보상계획을 밝히기 위해 마련됐다. 조좌진 대표와 이창주 리스크관리본부장, 최재영 마케팅 지원본부장, 최용혁 정보보호실장 등 주요 임원들은 기자회견에 앞서 이번 사태를 사과하며, 고개를 깊이 숙였다. 

조좌진 대표는 “최근 발생한 저희 회사의 사이버 침해 사고로 고객 분들께 크나큰 불안과 심려를 끼쳐드린 점에 대해 대표이사로서 무한한 책임을 느끼며 이 자리에 섰다”고 말문을 열었다. 

롯데카드는 지난달 26일 서버 점검 과정에서 사이버 침해 사실을 최초 인지했다. 정밀 조사 결과 3개 서버에서 2종의 악성 코드와 5종의 웹 셸을 발견해 삭제했으나, 같은달 31일 온라인 결제 서버에서 외부 공격자가 1.7기가바이트(GB) 분량의 데이터 반출을 시도했던 흔적을 발견했다. 이에 롯데카드는 지난 1일 금융감독원에 사이버 침해 사실을 신고했다.

이후 금융감독원과 금융보안원의 현장 검사가 진행된 결과, 200기가바이트(GB) 분량의 데이터가 추가적으로 반출된 정황이 확인됐다. 이 과정에서 회원정보가 대거 유출된 사실도 밝혀졌다. 

조 대표는 “관계 기관과 정밀분석을 진행할 결과, 특정 고객의 일부 고객정보가 유출된 사실을 최종적으로 확인했다”며 “고객정보가 유출된 총 회원 규모는 297만명”이라고 밝혔다. 이어 “정보유출은 온라인 결제 서버에 국한해서 발생했다”며 “오프라인 결제와는 전혀 무관하다”고 덧붙였다.  

유출된 정보는 7월 22일과 8월 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터다. △CI(Connecting Information) △가상결제코드 △내부식별번호 △간편결제 서비스 종류 등이다. 

고객 개인별로 유출된 정보 항목은 달랐다. 조 대표는 “전체 유출 고객 중, 유출된 고객정보로 카드 부정사용으로 이어질 가능성이 있는 고객은 총 28만명으로 확인됐다”며 “해당 고객들은 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록하신 고객들의 경우에 해당된다”고 설명했다.

유출 정보는 △카드번호 △비밀번호(2자리) △유효기간 △보안코드(CVC) △고객정보(연계 정보(CI) , 주민등록번호, 생년월일, 연락처, 전화번호) 등이다. 

조 대표는 “유출된 정보가 있다고 하더라도 오프라인 결제의 경우, 부정 사용될 소지는 없다”고 전했다. IC 및 마그네틱 실물카드 복제에 필요한 정보가 담겨있지 않아 복제의 가능성은 없다는 설명이다. ATM을 통한 카드론, 현금서비스도 마찬가지다. 

또한 “온라인 결제에 실제 결제가 일어나기 위해선 SMS 인증, 지문 인증 등 제 2의 추가적인 본인 인증 절차가 필요하기 때문에 유출된 정보만으로는 부정사용이 어려운 수준”이라고 강조했다. 이어 “키인(KEY IN) 거래의 경우엔 부정사용 가능성이 존재하고 있지만 현재까지 부정사용 사례는 확인되지 않았다”고 강조했다.

◇ 28만명은 CVC도 유출… “부정사용은 아직 확인 안 돼”

키인 거래는 단말기에 카드정보를 직접 입력해 결제하는 방식이다. 롯데카드 측은 “330만개의 전체 가맹점 가운데 0.15% 정도의 가맹점에서만 키인 결제가 이뤄지고 있다”며 ”일부 오래된 가맹점이나 해외 특정 가맹점에서 전화나 통신을 통해서 키인 거래가 이뤄지고 있지만 규모가 크진 않다”고 설명했다. 

롯데카드는 키인 거래를 통한 부정사용을 차단하기 위한 조치를 시행 중이다. 키인 결제 시도가 있을 경우, 먼저 차단을 하고 승인 요청 시 소명이 이뤄진 후에만 결제가 이뤄지도록 조치했다는 설명이다.

나머지 269만명의 경우에는 일부 항목만 제한적으로 유출됐다. 이 중 44만명은 암호화된 카드번호, 고객 정보(CI, 주민등록번호 등), 온라인결제정보(가상결제코드, 결제요청금액 등)가 유출됐다. 222만명 고객은 카드번호(암호화), 온라인결제정보 등이 유출 피해를 입었다. 조 대표는 “해당 정보만으로는 카드 부정사용이 발생할 가능성이 없다”고 강조했다. 

조 대표는 “현재까지 이번 사이버 침해사고로 고객정보가 악용돼 소비자 피해로 이어진 사례는 단 한 건도 확인된 바 없지만, 피해가 확인될 경우엔 피해액 전액을 보상하겠다”고 밝혔다. 

롯데카드는 고객정보가 유출된 297만 고객 전원에 대해 이날부터 개별적으로 고객정보 유출 안내 메시지를 보낼 예정이다. 특히, 부정사용 가능성이 있는 고객 28만명에게는 재발급 안내 문자를 추가로 발송하고, ‘카드 재발급’ 조치가 최우선적으로 이뤄지도록 하겠다고 전했다. 

또한, 이상거래탐지시스템인 FDS 모니터링을 한층 더 강화할 방침이다. 조 대표는 “해외 온라인 결제 시 기존 결제 이력이 없는 가맹점에서의 결제 건은 전화 본인 확인 후에만 승인하고 있다”며 “국내 결제 또한 강화된 사전 사후 모니터링을 시행해 부정 결제 가능성에 대비하고 있다”고 전했다.

시스템 보안 강화 작업도 신속히 진행할 계획이다. 조 대표는 “온라인 결제 시스템의 서버, 운영체제, 소프트웨어 환경을 전면 교체해 보안 수준을 한층 강화하고, 주요 시스템 계정 접속 및 인증 체계 강화, 네트워크 보안 및 데이터 암호화 관리도 3개월 내 고도화 완료할 계획”이라고 전했다.

이날 정보 유출 피해 고객에 대한 지원방안도 발표됐다. 우선, 롯데카드는 고객정보가 유출된 고객 전원에게 연말까지 금액과 관계없이 무이자 10개월 할부 서비스를 무료로 제공할 방침이다. 또한 금융피해 보상 서비스인 크레딧케어와 카드사용 알림서비스도 연말까지 무료로 제공된다. 

최우선 재발급 대상이 되는 고객 28만명에게는 카드 재발급 시 차년도 연회비를 한도 없이 면제하기로 결정했다. 

조 대표는 “이번 사태를 단순한 해킹사건이나 보안문제로 보지 않고, 경영 전반의 메커니즘을 근본부터 혁신하는 계기로 삼고자 한다”며 “현재의 기능 중심적으로 구성된 조직을 고객 중심, 고객가치 중심, 고객보호 중심으로 대전환 시키도록 할 것이며, 대표이사인 저를 포함해 대대적인 인적쇄신을 연말까지 완료하겠다”고 전했다.  

◇ 무이자 10개월 등 피해보상방안 발표… “5년간 정보보호에 1,100억원 투자”

또한 “향후 5년간 1,100억원의 정보보호 관련 투자를 집행함으로써 IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다”며 “이를 통해 자체 보안관제 체계를 구축해 24시간 실시간 통합보안 관제체계를 강화하고, 전담 레드팀을 신설하여 해커의 침입을 가정한 예방 활동을 상시화하도록 하겠다”고 밝혔다. 

롯데카드는 이번 해킹 사고를 최초 공격 시도가 발생한 지 보름여 만에 파악한 것으로 확인됐다. 해커는 지난달 12일 최초로 침입을 시도했으며, 다음날인 13일 온라인 결제 서버 내에 악성코드를 설치했다. 이후 14일부터 파일을 빼내가기 시작했다.

그러나 롯데카드는 지난달 26일에야 침해 사고를 인지했다. 이 때문에 보안 관리가 허술했다는 비판을 피하게 어렵게 됐다. 관리 책임을 진 경영진의 책임론도 부상했다. 

조 대표는 이번 사태에 책임을 통감하고 있다는 입장을 전했다. 그는 이날 “시장에서 납득할 만한 수준의 인적쇄신을 하겠다”며 “인적쇄신에는 저의 사임도 포함될 수 있다”고 말했다. 

조 대표는 “고객 피해를 제로화하고, 고객분들의 불편을 최소화하는 임무가 제가 롯데카드 대표이사로서의 마지막 책무라는 결연한 마음가짐으로 최선을 다하겠다”며 “다시 한번 이번 일로 심려를 끼쳐드리게 된 점, 진심으로 머리 숙여 깊은 사과의 말씀을 드린다”고 전했다.