전사적 비상대응체계 가동…“피해 발생 시 전액 보상”

롯데카드 CI. 사진=롯데카드

롯데카드(대표 조좌진)는 최근 발생한 사이버 침해 사고로 고객정보 297만명이 유출됐다고 18일 밝혔다.

이번 사고는 온라인 결제 서버를 통해 발생했으며, 오프라인 결제와 ATM 등은 영향을 받지 않았다. 유출된 정보는 CI, 가상결제코드, 내부식별번호, 간편결제 서비스 종류 등이며, 이 중 28만명은 카드번호·유효기간·CVC번호 등 온라인 신규 등록 결제 정보가 포함돼 있어 부정사용 가능성이 존재한다.

조좌진 롯데카드 대표는 이번 사태에 대해 사과하며 “고객 피해는 롯데카드가 전액 책임지고 보상하겠다”며, 부정사용 가능성이 있는 28만명에 대한 카드 재발급과 안내, FDS 모니터링 강화 등 전사적 비상대응체계를 가동하겠다고 말했다.

롯데카드에 따르면, 회사는 이번 사고에 대해 금융당국 신고와 자체 조사, 금융보안원·금융감독원의 현장 검사를 진행했으며, 9월 17일 최종적으로 일부 고객정보 유출을 확인했다.

8월 26일 온라인 결제 서버에서 해커 침해 흔적이 처음 발견됐다. 이후 3개 서버에서 2종의 악성코드와 5종의 웹쉘을 삭제했으며, 회사측은 다른 서버나 데이터베이스로의 추가 감염은 없다고 확인했다.

8월 31일 낮 12시경, 외부 공격자가 1.7GB 규모 데이터 반출을 시도했으나, 초기 조사에서는 고객정보 유출은 확인되지 않았다. 9월 1일 금융당국에 사건을 신고했고, 9월 2일부터 금융감독원과 금융보안원의 현장 검사 진행 중 200GB 분량의 데이터 추가 반출 정황이 확인됐다. 최종 분석 결과, 일부 고객정보 유출 사실이 확인됐다.

총 297만명의 회원정보가 유출됐으며, 오프라인 결제 정보는 포함되지 않았다. 유출 정보는 온라인 결제 과정에서 생성·수집된 CI, 주민등록번호, 가상결제코드, 내부식별번호, 간편결제 서비스 종류 등으로, 개인별로 항목이 다르다.

대부분 269만명은 제한적 정보 유출로 카드 부정사용 가능성이 없으며, 재발급은 필요 없다. 다만 일부 특수 결제 방식(KEY IN)을 사용하는 28만명은 부정사용 가능성이 존재한다. 현재까지 부정 사례는 확인되지 않았다.

롯데카드는 피해 발생 시 전액 보상을 약속하고, 고객 피해 제로화를 목표로 전사적 비상대응체계를 가동 중이다. 297만 고객에게 개별 안내 메시지를 발송하고, 부정사용 가능 고객 28만명에게는 카드 재발급 안내와 전화 안내를 병행한다.

추가로, 고객정보가 유출된 고객 전원에게 연말까지 무이자 10개월 할부 서비스를 제공하고, 금융사기 피해 보상 서비스인 크레딧케어와 카드 사용 알림서비스도 무료로 제공한다. 재발급 대상 28만명은 차년도 연회비 면제 혜택을 받을 수 있다고 밝혔다.

이 밖에도 회사는 FDS 모니터링 강화, 해외·국내 결제 사전·사후 확인 절차 시행, 앱 내 보안 메뉴 배치, 동시 접속 인원 확대, 24시간 상담센터 인력 확충 등 조치를 시행 중이다.

롯데카드는 이번 사건을 계기로 고객 중심·보호 중심 경영 체제로 전환하고, 향후 5년간 1,100억원 규모 정보보호 투자를 집행, 보안관제 강화 및 IT 시스템 전면 개편을 추진할 계획이다.

조 대표는 “고객님께 심려를 끼쳐드린 점 진심으로 사과드린다"며, "고객 피해를 제로화하고, 불편을 최소화하는 것을 최우선 목표로 모든 역량을 총동원하겠다”고 밝혔다.

<문화경제 김예은 기자>