CVC 등 주요 정보 유출 28만명…조좌진 롯데카드 대표 “부정거래 발생 시 전액 보상” [롯데카드 해킹사태]

[한국금융신문 강은영 기자] 조좌진 롯데카드 대표가 최근 발생한 해킹 사태 관련 긴급 브리핑에서 “모든 책임은 대표이사인 제가 지겠다”며 사과하고, 고객 피해를 최소화하기 위해 무이자 할부·연회비 면제 등 지원책을 밝혔다.

18일 조좌진 롯데카드 대표는 이날 부영태평빌딩에서 열린 롯데카드 사이버 침해 사고 관련 언론 브리핑에서 사고 규모와 고객보호 조치에 대해 발표했다.

조좌진 대표는 “이번 침해사태에 대한 책임은 대표이사인 제가 가장 크게 끼고 부담해야 한다고 생각한다”며 “깊은 책무감을 느끼고 반성하고 있다”고 해킹 사태로 발생한 고객들의 불편에 대해 사과했다.

롯데카드가 지난달 말 외부 해커의 침해 흔적을 발견한 후 피해 규모 등을 조사한 결과, 고객정보가 유출된 총 회원 규모는 297만명이다. 정보가 유출된 데이터는 약 200GB에 달한다.

이번에 유출된 정보는 올해 7월22일과 8월28일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터로 ▲CI(Connecting Information) ▲가상결제코드 ▲내부식별번호 ▲간편결제 서비스 종류 등이다.

정보가 유출된 고객 중 카드 부정사용으로 이어질 가능성이 있는 고객은 총 28만명으로, 이들은 해킹 시기 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록한 이들이다. 유출정보 범위는 온라인 신규등록 시 필요한 카드번호, 유효기간, CVC번호 등이 포함된다.

롯데카드는 정보주체별 유출된 정보 항목이 상이하므로, 회원별 유출된 정보의 세부 항목을 홈페이지에서 조회할 수 있도록 조치하고, 당사자에게는 개별적으로 안내메시지를 발송하고 있다.

다만, 유출된 정보가 있더라도 IC 및 마그네틱 실물카드 복제에 필요한 정보가 담겨있지 않아 복제 가능성이 없어 오프라인 결제에 부정 사용될 소지가 없다는 것이 롯데카드의 설명이다. 온라인 결제에서도 SMS 인증, 지문 인증 등 추가적인 본인 인증 절차가 필요해 유출된 정보만으로 부정사용이 어렵다고 덧붙였다.

나머지 269만명은 CI, 가상결제코드 등으로, 이 정보만으로 카드 부정사용이 불가능하다고 롯데카드는 설명했다.

사건 발생을 인지한 후 사실을 밝히기까지 시간이 소요된 것에 대해 조좌진 대표는 “해킹된 파일이 대부분 암호화 된 상태였고, 해킹당한 암호화된 파일을 복구해 고객 정보별로 분류 후 정보를 매칭하는 데 작업이 상당기간 소요됐다”며 “고객의 소중한 정보를 파악하고, 어떤 피해가 발생했는지 정확하게 안내해야 했기 때문에 빠른 시간에 처리하기에는 현실적 한계가 존재했다”고 밝혔다.


롯데카드는 이번 침해 사고로 발생한 피해에 대해 어떠한 손실도 고객에게 전가하지 않겠다고 강조했다. 정보 유출로 인한 부정거래가 발생할 경우 2차 피해를 포함해 전액 보상한다.

고객정보가 유출된 고객에게는 개별적으로 안내 메시지를 발송하고, 부정사용 가능성이 있는 28만명에 대해 재발급 안내 문자와 안내전화도 병행해 ‘카드 재발급’ 조치를 최우선적으로 진행한다.

조좌진 대표는 “부정사용 가능성이 있는 28만명 고객 중 5만 5000명에 대해서는 카드 재발급과 사용 정지, 회원 탈회 등을 완료해 리스크를 해소했다”며 “현재 발생한 부분에 대해 명확하게 해결을 하고 그 해결을 통해 다시 선택받을 수 있는 카드사가 되게끔 만들어내는 데 주안점을 두고 있다”고 말했다.

정보가 유출된 고객을 대상으로 연말까지 금액과 관계없이 무이자 10개월 할부 서비스를 무료로 제공한다. 피싱, 해킹 등 금융사기 또는 사이버 협박에 의한 손해 발생 시 보상하는 금융피해 보상 서비스(크레딧케어)도 연말까지 무료로 제공한다.

특히 최우선 재발급 대상이 되는 고객 28만명에게는 카드 재발급 시 차년도 연회비를 한도 없이 면제한다. 롯데카드에 따르면, 면제되는 연회비 규모는 평균 2만원 정도로 책정된다. 추가로 고연회비 카드 고객까지 포함한다면 약 56억원 수준으로 추산된다.

롯데카드는 이번 사태를 단순한 해킹사건이나 보안문제로 보지 않고, 경영 전반 매커니즘을 근본부터 혁신하겠다고 밝혔다. 이에 따라 현재 기능 중심적으로 구성된 조직을 고객 중심, 고객가치 중심 고객보호 중심으로 대전환하고, 연말까지 대대적인 인적쇄신을 완료할 계획이다.

조좌진 대표는 “그동안 고객 중심으로 생각하고 고객 단위로 뭔가를 책임지고 운영되는 틀이 상대적으로 약해 좀 더 고객 중심 형태의 조직 구조를 가져가겠다는 것”이라며 “인적 쇄신과 관련해 사임까지도 포함해 충분히 시장에서 납득할 만한 인적 쇄신을 하겠다고 약속한다”고 답했다.

아울러 향후 5년간 1100억원의 정보보호 관련 투자를 집행해 IT 예산 대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대할 계획이다. 롯데카드는 지난 2019년부터 꾸준히 투자비용을 늘리며 정보보호 관련 투자와 인력을 확대해 왔다. 실제 2019년 19명이었던 정보보호 인력은 지난해 30명으로 늘었다.

이에 대해 조 대표는 “그동안 정보보호 관련해 높은 관심을 가지고 투자와 노력을 나름대로 했다”면서도 “이번 침해 사태를 막을 만큼 충분했느냐에 대해서는 반성의 여지가 많이 남고 그 부분에 대한 가장 큰 책임은 CEO인 제가 져야 한다고 생각한다”고 말했다.

한편, 이날 금융위원회는 롯데카드 정부유출 관련 긴급 대책회의를 개최하고 대응방안을 논의했다. 금융위는 롯데카드가 실효성 있는 소비자보호 조치를 적극 시행하도록 관리·감독하고, 철저한 원인규명을 통해 허술한 개인정보·정보보안 관리 사항에 대해 최대 수준의 엄정한 제재를 가할 방침이다.

강은영 한국금융신문 기자 eykang@fntimes.com