[파이낸셜데일리 송지수] 롯데카드 해킹 사고로 약 200GB(기가바이트) 규모의 데이터가 유출되면서 297만명의 회원 정보가 새어나갔다. 이 가운데 28만명은 카드번호와 비밀번호 2자리, CVC번호까지 유출돼 부정 사용에 노출된 것으로 파악됐다.
롯데카드는 전사적 비상대응체계를 가동하고 5년간 1100억원 규모로 정보보호에 투자한다는 방침이다. 피해가 발생할 경우에는 전액 보상하고, 무이자할부와 금융피해 보상 서비스, 카드사용 알림 서비스 등을 연말까지 제공한다.
18일 롯데카드는 서울 부영태평빌딩에서 언론브리핑을 열고 사이버 침해 관련 경위와 대국민 사과를 진행했다.
조좌진 롯데카드 대표는 이 자리에서 "고객정보가 유출된 총 회원 규모는 297만명"이라며 "침해사고로 발생한 피해액 전액을 보상하겠다"고 말했다.
롯데카드에 따르면 정보가 유출된 총 회원 규모는 297만명이다. 유출된 정보는 지난 7월22일과 지난달 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터로 한정되며, 오프라인 결제와는 무관하다.
세부 유출 항목은 CI(Connecting Information·연계 정보), 주민등록번호, 가상결제코드, 내부식별번호, 간편결제 서비스 종류 등이다. 고객의 이름은 유출되지 않았다.
특히 유출된 고객 가운데 28만명의 경우 카드번호와 비밀번호 2자리, CVC번호 등이 유출돼 부정 사용이 가능하다.
특히 카드 정보를 직접 입력해 결제하는 KEY IN(키인) 방식의 경우 국내와 해외 일부 가맹점을 통한 부정거래 가능성이 남아있다. 롯데카드에 따르면 330만개의 전체 가맹점 가운데 0.15% 정도의 가맹점에서 키인 결제 방식이 이뤄지고 있다.
롯데카드는 키인 결제 시도가 이뤄질 경우 선 차단하고, 승인 요청 시 소명 후 결제가 이뤄지도록 조치했다. 롯데카드 측은 현재까지 부정 사용 사례는 없는 것으로 확인됐다고 설명했다.
조 대표는 "유일하게 단말기에 카드정보를 직접 입력해 결제하는 방식인 일부 키인 거래의 경우에는 부정사용 가능성이 존재하나, 현재까지 부정사용 사례는 확인되지 않았다"고 말했다.
유출된 고객의 대다수인 269만명의 경우 CI, 가상결제코드 등이 유출됐다. CI로는 주민등록번호 특정이 불가하다. 위 정보만으로는 카드 부정사용이 불가능하지만, 피해 사실이 발생하면 롯데카드가 전액 보상한다.
조 대표는 "유출된 정보가 있다고 하더라도 오프라인 결제의 경우, IC 및 마그네틱 실물카드 복제에 필요한 정보가 담겨있지 않아 복제의 가능성은 없다"며 "온라인 결제도 제2의 추가적인 본인 인증 절차가 필요하기 때문에 유출된 정보만으로는 부정사용이 어려운 수준"이라고 설명했다.
롯데카드는 침해 사고로 인해 발생한 피해에 대해서는 피해액 전액을 보상한다는 방침이다. 고객정보 유출로 인한 2차 피해에 대해서도 그 연관성이 확인된 경우 롯데카드에서 전액 보상한다.
조 대표는 "금번 고객정보가 유출된 고객 전원에게는 연말까지 금액과 관계없이 무이자 10개월 할부 서비스를 무료로 제공하겠다"며 "금융피해 보상 서비스인 크레딧케어도 연말까지 무료로 제공하고, 카드사용 알림서비스도 연말까지 무료로 제공하겠다"고 전했다.
특히 최우선 재발급 대상이 되는 고객 28만명에게는 카드 재발급 시 차년도 연회비를 한도 없이 면제한다. 평균 연회비 2만원을 가정했을 경우 최소 56억원의 비용이 들어갈 예정이다.
롯데카드의 이번 해킹 공격은 지난달 14일 처음 발생했다. 롯데카드에서 공격 사실을 인지한 것을 17일이 지난 뒤인 같은달 31일이다. 당시 롯데카드는 1.7기가바이트 규모의 데이터가 유출된 것으로 파악했지만 이번 발표에 따르면 실제로는 100배가 넘는 200기가바이트 규모가 새어나갔다.
조 대표는 이처럼 해킹 사실과 유출 규모 등을 뒤늦게 파악한 원인에 대해 "처음에 1.7기가바이트 서버에 있는 파일을 압축해서 들고 나간 흔적을 발견했는데 압축 파일들을 교묘하게 지워서 어떤 정보가 나갔는지 확인할 수 없었다"며 "200기가의 데이터를 짧게 잘라 4700개 정도로 가져간 것으로 파악했고, 암호화된 파일을 복구하고 고객별로 매칭시키는 작업들이 상당히 오래 걸렸다"고 설명했다.
롯데카드는 보안 강화를 위해 FDS(이상거래탐지시스템) 모니터링을 격상해서 시행한다. 해외 온라인 결제 시 기존 결제 이력이 없는 가맹점에서의 결제 건은 전화 본인 확인 후에만 승인한다. 국내 결제 또한 강화된 사전 사후 모니터링을 시행하여 부정 결제 가능성에 대비하고 있다.
온라인 결제 시스템의 서버, 운영체제, 소프트웨어 환경을 전면 교체해 보안 수준을 한층 강화하고, 주요 시스템 계정 접속 및 인증 체계 강화, 네트워크 보안 및 데이터 암호화 관리도 3개월 내 고도화 완료할 계획이다.
조 대표는 또 "이번 사태를 단순한 해킹사건이나 보안문제로 보지 않고, 경영 전반의 메커니즘을 근본부터 혁신하는 계기로 삼고자 한다"고 강조했다.
이와 관련, "침해 사태에 대한 책임은 롯데카드 대표이사인 제가 가장 크게 느끼고 부담해야 한다고 생각한다"며 "대표이사인 저를 포함해 대대적인 인적쇄신을 연말까지 완료하겠다"며 사퇴 가능성을 시사했다.
또 향후 5년간 1100억원의 정보보호 관련 투자를 집행하고, IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대한다.
조 대표는 "현재 집행되는 정보보호 예산이 1년에 125억원 수준인데, 5년에 1100억원이면 1년에 220~230억원 수준"이라며 "금융권의 정보보호 예산 가이드라인은 7%를 기본으로 하고 있는데 현재 10% 수준이고, 15%까지 올릴 예정"이라고 말했다.
업계에서는 롯데카드의 최대주주인 사모펀드 MBK파트너스가 수익 극대화에 치중하면서 보안 투자를 소홀히 했다는 지적이 제기된다. MBK파트너스는 이미 홈플러스 사태와 관련해 금융당국 조사와 검찰 수사를 받고 있는 만큼 책임론이 더욱 확산될 전망이다.
조 대표는 이에 대해 "MBK파트너스가 롯데카드를 인수한 것이 2019년 10월인데 2021년에 정보보호 관련 고도화 작업으로 137억원 규모의 투자를 한 것을 제외하고 2022년부터 2025년까지 정보보호 관련 투자를 88억원에서 128억원으로 지속적으로 확대했다"며 "정보보호 관련 높은 관심과 투자 노력을 했다고 생각하지만, 이번 사태를 막을 만큼 충분했냐라는 부분에 대해서는 반성의 여지가 많고 CEO가 책임져야 한다고 생각한다"고 말했다.
