롯데카드 297만 고객 정보 200GB 유출…부정 사용 후보군만 28만명

(콕스뉴스 이진 기자) 롯데카드 정보유출 피해 규모가 297만명에 달하며, 28만명 고객의 카드는 부정 사용될 가능성이 있는 것으로 확인됐다. 롯데카드 측은 피해액 전액을 보상할 것이며, 1100억원을 보안 투자에 투입할 예정이다.

조좌진 롯데카드 대표는 18일 서울 본사에서 기자브리핑을 열고 최근 발생한 사이버 침해 사고로 고객 297만명의 개인정보가 유출됐다고 공식 발표했다.

조 대표는 "고객 여러분께 크나큰 불안과 심려를 끼쳐드린 점에 대해 무한한 책임을 느낀다"며 "고객 피해를 제로화하기 위해 모든 노력을 다하겠다"고 사과했다.

롯데카드 로고 / 사진 롯데카드

롯데카드는 8월 26일 온라인 결제 서버에서 외부 해커의 침해 흔적을 발견한 후 전체 서버 정밀조사를 실시했다. 그 결과, 3개 서버에서 2종의 악성코드와 5종의 웹쉘을 발견해 즉시 삭제 조치했다.

같은 달 31일에는 외부 공격자가 1.7GB 분량의 데이터 반출을 시도한 흔적이 발견됐으나, 당시에는 고객정보 유출이 확인되지 않았다. 이후 9월 1일 금융당국에 침해사고를 신고했다.

9월 2일부터 금융감독원과 금융보안원의 현장 검사가 진행되는 과정에서 200GB 분량의 데이터가 추가 반출된 정황이 발견됐으며, 17일 특정 고객의 일부 고객정보 유출 사실을 최종 확인했다.

전체 유출 고객 297만명 중 카드 부정사용 가능성이 있는 고객은 28만명으로 확인됐다. 이들은 7월 22일부터 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 카드 정보를 신규 등록한 고객들이다.

유출된 정보는 온라인 결제 서버에 한정되며 CI(연계정보), 가상결제코드, 내부식별번호, 간편결제 서비스 종류 등이다. 부정사용 가능성이 있는 28만명의 정보에는 카드번호, 유효기간, CVC번호 등이 포함됐다.

다만 오프라인 결제나 ATM을 통한 카드론, 현금서비스는 IC 및 마그네틱 카드 복제에 필요한 정보가 없어 부정사용이 불가능하다고 회사는 설명했다. 온라인 결제 시에도 SMS 인증, 지문 인증 등 2차 본인 인증이 필요해 유출된 정보만으로는 부정사용이 어렵다고 덧붙였다.

현재까지 고객정보 악용으로 인한 소비자 피해 사례는 한 건도 확인되지 않았다고 회사는 밝혔다.

롯데카드는 이번 사고로 발생한 모든 피해에 대해 전액 보상하겠다고 약속했다. 유출된 297만명 규모의 고객 전원에게 개별 안내 메시지를 발송하고, 부정사용 가능성이 있는 28만명에게는 재발급 안내 문자와 전화를 병행한다.

이상거래탐지시스템(FDS) 모니터링을 강화하고 해외 온라인 결제 시 기존 이력이 없는 가맹점에서는 전화 본인 확인 후에만 승인하기로 했다. 롯데카드 앱 메인 화면에 보안조치 관련 메뉴를 배치하고 동시 접속 인원을 60만명까지 확대했다.

고객 지원책으로는 유출된 고객 전원에게 연말까지 무이자 10개월 할부 서비스, 금융피해 보상 서비스인 크레딧케어, 카드사용 알림서비스를 무료 제공한다. 재발급 대상 28만명에게는 차년도 연회비를 면제한다.

조 대표는 향후 5년간 1100억원의 정보보호 투자를 집행해 IT 예산 대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다고 발표했다. 24시간 실시간 통합보안 관제체계를 구축하고 전담 레드팀을 신설해 예방 활동을 상시화한다는 계획이다.

조좌진 대표는 "현재의 기능 중심 조직을 고객 중심으로 전환하고, 대표이사를 포함한 대대적인 인적쇄신을 연말까지 완료하겠다"고 밝혔다.