롯데카드에서 297만명 분량의 고객정보가 해킹으로 유출됐다. 지난 2014년 3개 카드사(국민·농협·롯데)에서 1억 건 넘는 개인정보가 빠져나간 초대형 유출 사태 이후 10년 만에 또다시 발생한 것이다. 특히 이번에는 카드번호·유효기간·CVC까지 포함된 고객이 28만명에 달해 부정사용 위험에 노출된 가운데 회사가 사고 발생 35일 만에야 피해 규모를 공개하고 무이자 할부·연회비 면제 수준의 보상책만 내놓으면서 소비자 반발이 집단소송으로 확산되고 있다.

22일 ‘롯데카드 개인정보 유출 집단소송 카페’에 따르면 현재 회원 5700여명이 소송 참여 의사를 밝힌 상태다. 이들은 “보안 관리 부재와 축소·늑장 대응이 불안을 키웠다”며 “실질적 피해 구제와 거리가 먼 보상책으로는 받아들일 수 없다”고 비판했다. 실제로 일부 고객은 해외 결제 시도, 스팸전화 급증, 보이스피싱 의심 사례까지 호소하고 있다.

롯데카드는 지난 18일 고객정보 약 200GB, 297만건 유출 사실을 공식 발표했다. 그러나 지난달 14일 실제 해킹 발생 이후 보름 넘게 홈페이지에 “정보 유출 없음”이라는 공지를 띄웠고 금융당국에 최초 보고한 유출 규모도 실제의 100분의 1 수준인 1.7GB에 불과해 대응 부실 논란이 커졌다.

보상안도 도마 위에 올랐다. 롯데카드는 유출 고객 전원에게 연말까지 무이자 10개월 할부, 카드사용 알림 서비스, 금융피해 보상 서비스를 제공하고 카드번호·CVC까지 노출된 28만명에 대해서는 내년 연회비를 전액 면제하겠다고 밝혔다. 하지만 소비자들은 “SK텔레콤이 비슷한 사태 때 5000억원 규모의 요금 감면·제휴사 혜택 패키지를 내놨던 것과 비교하면 턱없이 부족하다”고 지적했다.

방송통신위원회는 주민등록번호를 암호화한 ‘연계정보(Connecting Information)’까지 함께 유출된 정황이 확인되자 긴급 점검에 착수했다. 금융당국도 “일벌백계 원칙으로 엄정 제재하겠다”며 징벌적 과징금 부과 가능성을 검토 중이다.

지난 2014년 카드사 대규모 정보 유출 사건은 신용평가사 직원이 위탁업무 과정에서 고객의 카드번호·신용등급·연봉 등을 불법 반출하면서 1억건 이상 유출된 ‘내부자 유출’이었고 당시 카드사들은 영업정지·과징금, 수탁사들은 수백억원대 배상 판결을 받았다.

이번 롯데카드 사태는 외부 해킹으로 인한 대규모 침해라는 점에서 양상이 다르지만 강화된 규제에도 불구하고 카드업계 보안 체계의 근본적 취약성은 여전히 반복되고 있다는 비판이 제기된다.

전문가는 이번 사태와 관련해 제도와 규제가 강화됐음에도 카드사 보안 체계에 구조적 허점이 남아 있다고 지적한다. 황석진 동국대 국제정보대학원 교수는 “롯데카드가 제시한 무이자 할부나 일시적 연회비 면제 같은 보상안은 실질적인 피해 구제책이 되기 어렵다”며 “연회비나 서비스 비용의 장기 면제, 포인트 일괄 지급 등 소비자가 체감할 수 있는 대책이 필요하다”고 말했다.

또한 황 교수는 “2014년 카드3사 유출 이후 장기간 대형 사고가 없었던 만큼 업계 전반의 경각심이 약화된 측면이 있다”며 “카드사를 비롯한 금융사들이 침해 사고 가능성을 열어두고 정기적인 모의 해킹 훈련과 시스템 점검을 상시적으로 시행해야 한다”고 강조했다.

여성경제신문 허아은 기자 ahgentum@seoulmedia.co.kr