조좌진 롯데카드 대표이사가 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 마친 뒤 취재진 질문에 답변하고 있다. [사진=연합뉴스]

롯데카드가 외부 해킹 공격으로 전체 회원의 약 3분의 1에 달하는 297만 명의 개인정보가 유출됐다고 18일 공식 발표했다.

조좌진 롯데카드 대표는 이날 서울 중구 부영태평빌딩에서 기자회견을 열어 고객과 유관 기관에 깊이 사과하며 사임을 포함한 대대적인 인적 쇄신을 연말까지 완료하겠다고 밝혔다.

유출된 정보는 온라인 결제 과정에서 생성·수집된 연계정보(CI), 주민등록번호, 가상결제코드, 내부 식별번호, 간편결제 서비스 종류 등이다. 이 가운데 28만 명은 카드번호·유효기간·CVC번호까지 유출돼 카드 부정 사용 가능성이 있는 것으로 파악됐다.

이들은 7월 22일부터 8월 27일 사이 새 페이결제 서비스나 커머스 사이트에 카드 정보를 새로 등록한 고객으로, 단말기에 카드 정보를 직접 입력하는 키인(Key-in) 결제 방식의 부정 사용 위험이 있다. 롯데카드는 해당 회원 전원에게 카드 재발급을 최우선으로 진행하고 있으며 발표 전날 저녁 기준 5만5,000명에 대한 재발급·사용정지·회원 탈퇴가 이미 완료됐다고 밝혔다.

나머지 269만 명은 일부 항목만 제한적으로 유출됐으며 해당 정보만으로는 카드 부정 사용이 발생하지 않는다고 설명했다. 유출은 온라인 결제 서버에 국한됐으며 오프라인 결제와는 무관하고 고객 성명도 포함되지 않았다고 덧붙였다.

피해 보상과 관련해 롯데카드는 이번 사고로 발생한 피해액을 전액 책임지고 2차 피해도 연관성이 확인되면 모두 보상하겠다고 밝혔다. 유출 피해 고객 전원에게는 연말까지 무이자 10개월 할부 서비스를 무료로 제공하며, 카드 재발급 대상 28만 명에게는 다음 해 연회비를 한도 없이 면제한다.

사고 경위를 보면 최초 해킹 발생은 8월 14일이었으나 회사 측이 인지한 것은 17일이 지난 8월 26일이었다. 해커가 일반적인 침해와 다른 수법을 사용했고, 취약점이 발견된 웹로직의 평소 사용량이 적어 탐지가 늦었다고 회사 측은 설명했다. 9월 2일부터 금융감독원과 금융보안원의 현장 검사가 진행되면서 200GB 분량의 추가 데이터 반출 정황이 확인됐다.

재발 방지책으로 롯데카드는 향후 5년간 1,100억 원을 정보보호에 투자해 자체 보안 관제 체계를 구축하고, IT 예산 대비 정보보호 예산 비중을 현행 10%에서 15%로 높이기로 했다.

“ 저작권자 ⓒ 퍼스널포커스 무단전재 및 재배포 금지 ”