[속보] 롯데카드 “해킹 사고로 297만 명 회원 정보 유출 확인...피해시 전액 보상”

롯데카드가 해킹 사고로 297만 명의 회원 개인정보가 유출된 사실을 공식 확인했다. 이는 롯데카드 전체 가입자 960만 명의 약 31%에 해당하는 규모다.

조좌진 롯데카드 대표이사는 18일 오후 서울 중구 부영태평빌딩에서 긴급 기자회견을 갖고 "사이버 침해 사고로 고객 여러분께 실망 끼친 점 무한한 책임을 느낀다"며 고개 숙여 사과했다.

이번 정보 유출 사건은 지난 8월 14일부터 15일 사이 롯데카드의 온라인 결제 시스템이 해커들의 침입을 받으면서 시작됐다. 하지만 회사는 17일이 지난 8월 31일에야 피해 상황을 파악했고, 다음 날인 9월 1일 금융당국에 신고 절차를 밟았다.

금융당국 조사에 따르면 실제 유출된 데이터 용량은 약 200GB에 달하는 것으로 드러났다. 이는 롯데카드가 처음 당국에 보고한 1.7GB보다 무려 100배나 많은 분량이다.

조 대표는 "7월 22일~8월 27일 새로운 페이 결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록하신 고객들이 해당한다"며 "유출 정보의 범위는 온라인 신규 등록 시 필요한 카드번호, 유효기간, CVC번호 등이 포함된다"고 설명했다.

특히 우려되는 점은 유출된 297만 명 중 28만 명이 카드 부정사용 위험에 노출되어 있다는 사실이다. 이들은 온라인 결제 과정에서 카드번호와 유효기간, 그리고 카드 뒷면 3자리 보안코드인 CVC까지 함께 빠져나간 것으로 확인됐다.

이번에 유출이 확인된 개인정보 항목은 연계정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류 등이다. 조 대표는 "정보 유출은 온라인 결제 서버에 국한해 발생했으며, 오프라인 결제와는 무관하다"고 강조했다.

롯데카드는 피해 고객들에 대한 구제책도 발표했다. 조 대표는 "이번 사고로 발생한 피해에 대해선 롯데카드가 책임지고 피해액 전액을 보상할 것"이라며 "2차 피해도 연관성이 확인되면 전액 보상하겠다"고 약속했다.

이번 사태로 롯데카드의 최대주주인 사모펀드 MBK파트너스에 대한 책임론도 거세지고 있다. MBK파트너스가 2019년 롯데카드를 인수한 뒤 보안 인프라 투자는 뒷전으로 미루고 수익성 개선에만 집중했다는 비판이 나온다.

정부도 강력한 대응 방침을 내놨다. 이재명 대통령은 "최근 통신사와 금융사에서 연이어 해킹 사고가 발생해 국민 불안이 크다"며 "보안 사고를 반복하는 기업에는 징벌적 과징금을 포함한 강력한 조치를 신속히 마련하라"고 관계부처에 지시했다.

실제로 올해 들어 SK텔레콤, KT, 예스24, SGI서울보증, 웰컴금융그룹 등 주요 기업들에서 연달아 해킹 사건이 터지면서 사이버 보안에 대한 우려가 커지고 있는 상황이다.

롯데카드는 과거에도 대규모 개인정보 유출 사고를 겪은 바 있다. 2014년에는 KB국민카드, NH농협카드와 함께 1억 건이 넘는 고객 정보가 외부로 빠져나가 금융업계 전체가 큰 홍역을 치렀다.

금융감독원은 국회 보고서에서 "온라인 결제 요청 내역에 카드 정보가 포함된 것으로 보인다"고 밝혀 CVC 유출 가능성에 대한 우려를 키웠다. CVC는 해외 온라인 쇼핑몰에서 결제할 때 핵심적인 보안 수단 역할을 하기 때문에 실제 유출됐다면 대규모 부정사용 피해로 이어질 수 있다.

롯데카드가 이번 기자회견에서 보상 약속 외에도 고객 신뢰 회복을 위한 추가 방안을 내놓을지 관심을 모으고 있다. 앞서 SK텔레콤은 비슷한 해킹 피해 이후 한 달간 멤버십 혜택을 제공하는 등 고객 달래기에 나선 바 있다.