더트래커 = 김상년 기자
롯데카드 외부 해킹 공격으로 개인정보 유출 피해를 입은 고객 수가 297만명에 달하는 것으로 밝혀졌다. 특히 카드 번호, 유효기간, CVC 번호 등이 유출돼 부정사용 피해 가능성이 있는 고객도 28만명으로 파악됐다.
조좌진 롯데카드 대표는 18일 오후 서울 중구 부영 태평빌딩에서 기자회견을 열고 "고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다"며 이같이 밝혔다. 롯데카드가 정보 유출 피해를 인지한 지난달 31일 이후 18일 만의 대국민 사과 발표다.
롯데카드는 약 960만명의 회원을 보유한 업계 5위권 카드회사로, 전체의 약 3분의 1에 가까운 회원 정보가 유출된 셈이다.
롯데카드는 지난달 26일 서버 점검 중 악성코드 감염 사실을 확인했고, 31일 자료 유출 시도 흔적을 발견, 외부 조사업체에서 정밀 조사를 진행했다. 당시 롯데카드는 “현재까지는 고객 정보 등 주요 정보의 외부 유출은 확인되지 않았다”고 공식 입장을 밝혔지만 금융 당국 조사 과정에서 300만명 가까운 고객의 정보가 유출된 사실이 확인된 것이다.
롯데카드는 금융 당국에 해킹 피해 사실을 신고하면서 유출 규모를 1.7GB 수준이라고 했지만, 실제 유출 규모는 그보다 훨씬 큰 200GB로 조사됐다.
유출이 확인된 회원 정보는 온라인 결제 과정에서 생성·수집된 데이터로 ▲ 연계 정보(CI) ▲ 주민등록번호 ▲ 가상 결제코드 ▲ 내부 식별번호 ▲ 간편결제 서비스 종류 등이다.
조 대표는 "전체 유출 고객 중 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명"이라며 "유출 정보 범위는 카드번호, 유효기간, CVC번호 등"이라고 말했다. 이들의 경우 단말기에 카드 정보를 직접 입력해 결제하는 키인(Key in) 거래 시 부정사용 가능성이 있다고 그는 설명했다.
키인거래는 카드 단말기에 카드를 꽂거나 긁는 대신 카드번호·유효기간 등을 직접 입력해 결제하는 방식이다. 전체 결제 규모의 1.15%를 차지한다.
이어 "해당 고객은 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드정보를 신규 등록한 고객"이라며 "카드 재발급 조치가 최우선적으로 이뤄지도록 하겠다"고 말했다.
조 대표는 "나머지 269만명은 일부 항목만 제한적으로 유출됐다"며 "해당 정보만으로 카드 부정사용이 발생할 가능성은 없다"고 설명했다. 그러면서 "정보 유출은 온라인 결제 서버에 국한해 발생했으며, 오프라인 결제와는 전혀 무관하다"며 "고객 성명도 유출되지 않았다"고 설명했다.
조 대표는 피해구제 방안으로, “부정 사용 가능성이 조금이라도 있는 28만명 고객에게 오늘부터 재발급 안내 문자와 전화를 드리겠다”며 “나머지 269만명 고객에 대해서도 순차적으로 안내 메시지를 전송할 계획”이라고 했다.
또 “이번 사고로 발생한 피해액에 대해서 책임지고 피해액 전액을 보상하겠다”면서 "2차 피해도 연관성이 확인되면 전액 보상하겠다"고 말했다.
롯데카드는 부정사용 가능성이 있는 고객 28만명에 대해서는 카드 재발급시 다음 연도 연회비를 한도 없이 면제하겠다고 했다. 또 유출 고객 전원에 대해서 연말까지 금액과 관계 없이 무이자 10개월 할부 서비스를 보상안으로 내놨다.
롯데카드는 이번 사고를 계기로 보안 조치도 한층 강화하겠다고 밝혔다. 조 대표는 "고객 피해 제로화를 최우선 과제로 삼고 대표이사 주재로 전사적 비상대응체계를 가동하겠다"고 말했다.
특히 앞으로 5년 동안 1100억원 규모의 정보보호 관련 투자를 집행, 자체 보안 관제 체계를 구축하기로 했다.
조 대표는 또 "대표이사인 저를 포함해 대대적인 인적 쇄신을 연말까지 완료하겠다"며 "고객 피해를 제로화하고 불편을 최소화하는 임무가 대표로서의 마지막 책무"라고 말했다.