롯데카드가 해킹 공격 피해 조사 결과 297만명의 회원 정보가 유출된 것으로 확인했다고 밝혔다. 전체 960만명의 회원 가운데 약 3분의 1에 가까운 회원 정보가 유출된 셈이다.
이 가운데 카드번호, 유효기간, CVC번호 등까지 유출돼 카드 부정 사용 발생 가능성이 있는 회원은 28만명으로 확인됐다.
조좌진 롯데카드 대표는 18일 오후 서울 중구 부영태평빌딩에서 기자회견을 열어 이같이 밝히고 "고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다"고 사과했다.
유출이 확인된 회원 정보는 온라인 결제 과정에서 생성·수집된 데이터로 연계 정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류 등이다.
조 대표는 "전체 유출 고객 중 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명"이라며 "유출 정보 범위는 카드번호, 유효기간, CVC번호 등"이라고 말했다.
이어 "나머지 269만명은 일부 항목만 제한적으로 유출됐다"며 "해당 정보만으로 카드 부정 사용이 발생할 가능성은 없다"고 덧붙였다.
정보 유출은 온라인 결제 서버에 국한해 발생했으며, 오프라인 결제와는 전혀 무관하다고 설명하기도 했다.
피해 구제 방안으로는 전액 보상 방침을 밝혔다. 조 대표는 "이번 사고로 발생한 피해는 롯데카드가 책임지고 피해액 전액을 보상할 것"이라며 "2차 피해도 연관성이 확인되면 전액 보상하겠다"고 말했다.
또 고객 정보가 유출된 고객 전원에게 연말까지 결제 금액과 관계없이 무이자 10개월 할부 서비스를 무료로 제공하기로 했다.
온라인을 통해 개인정보 유출 여부 확인 페이지를 캡처한 화면도 공유되고 있다. 카드번호, 유효기간, CVG, 주민등록번호, 가상결제코드, 결제요청금액, 간편결제서비스 구분, 비밀번호(앞2자리) 등 유출 범위 안내와 함께 '만에 하나 이번 침해 사고로 인해 부정사용이 발생할 경우, 피해액 전액 보상을 약속드린다'는 문구가 표시됐다. 일부에게는 '회원님의 유출 정보로 부정 사용이 될 위험은 낮다'는 문구도 더해졌다.
네티즌들은 유출 규모가 크고, 범위 또한 피해가 우려될 정도라며 걱정하고 있다. 아울러 롯데카드 측에서 유출 고객 전원에게 내건 '연말까지 무이자 10개월 할부 서비스' 역시 사안에 비해 부실한 보상 방침이 아니냐며 지적하고 있다.
앞서 롯데카드는 지난 1일 해킹 공격을 당해 1.7GB 규모의 데이터가 유출됐다고 금융당국에 신고했다.
조사 결과 실제 유출 규모는 이보다 훨씬 큰 것으로 드러났으며, 처음 해킹 사고가 발생한 것은 지난달 14일이었으나 회사 측은 월말이 돼서야 사태를 파악하고 조사에 나선 것으로 전해졌다.
조 대표는 사고 경과와 관련 "8월 26일 온라인 결제 서버에서 외부 해커 침해 흔적을 발견했다"며 "31일 1.7GB 분량의 데이터 반출을 시도한 흔적을 발견했다"고 설명했다. 이어 "9월 2일부터 금융감독원과 금융보안원 현장 검사가 진행됐고, 200GB 분량의 데이터가 추가 반출된 정황을 발견했다"며 "어제 특정 고객의 일부 고객 정보가 유출된 사실을 최종 확인했다"고 전했다.
아울러 "고객 피해 제로화를 최우선 과제로 삼고 대표이사 주재로 전사적 비상대응체계를 가동하겠다"면서 앞으로 5년 동안 1100억원 규모의 정보보호 관련 투자를 집행, 자체 보안 관제 체계를 구축하겠다고 밝혔다.
김수영 한경닷컴 기자 swimmingk@hankyung.com
관련뉴스
