롯데카드 960만 고객 중 30% 넘게 개인정보 유출···28만명은 카드 재발급 받아야

롯데카드에서 297만 고객의 개인정보가 유출됐다. 회사는 전사적 비상대응체계를 가동해 피해 차단과 불편 최소화에 나서고 피해 발생 시 전액 보상과 무상 서비스 제공, 대규모 보안 투자까지 약속했다. 그러나 실질적 금전 보상보다는 부가 서비스 위주의 대책에 그쳐 ‘보상이 미미하다’는 평가가 나오고 있다. 또한 사고 이후 뒤늦게 보안을 강화하는 대응이라는 점에서 ‘사후약방문’이라는 지적도 제기된다.

18일 롯데카드는 해킹 공격 피해 조사한 결과를 발표했다. 유출 범위는 7월 22일부터 8월 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터로 한정된다. 항목은 CI(연계정보), 주민등록번호, 가상결제코드, 내부식별번호, 간편결제 서비스 종류 등이며 개인별로 상이하다. 회사는 홈페이지에 ‘개인신용정보 유출 여부 확인’ 기능을 개설하고 대상자에게 개별 안내 메시지를 발송하기로 했다.

정보가 유출된 것으로 파악된 고객은 총 297만명이다. 롯데카드 전체 고객은 약 960만명으로 전체 고객의 30% 이상의 정보가 유출된 셈이다.

유출 고객 중 대다수인 269만명은 CI, 가상결제코드 등이 유출됐으나 해당 정보만으로는 카드 부정사용이 불가능해 카드 재발급은 필요하지 않다고 회사는 설명했다. 다만 28만 명의 경우 일부 특수 결제방식(KEY-IN 등)을 통한 부정사용 가능성이 있어 우선 재발급을 안내하고 있다.

롯데카드는 유출 고객 전원에 대해 피해액 전액 보상 방침을 밝혔다. 정보유출과 연관성이 확인되는 2차 피해에 대해서도 전액 보상할 계획이다. 부정사용 가능성이 있는 28만명에는 카드 재발급을 최우선으로 진행하고 재발급 시 차년도 연회비 전액을 면제한다. 

사전·사후 감시도 강화하기로 했다. 이상거래탐지(FDS) 고도화를 통해 해외 온라인 결제의 경우 기존 결제 이력이 없는 가맹점에서는 전화 본인확인 후 승인하고, 국내 결제도 모니터링을 강화했다.

또한 롯데카드는 침해사고 전용 24시간 상담센터 인력을 확충하고 앱 메인 화면 상단에 재발급, 해외결제 차단, 비밀번호 변경 등 보안 메뉴를 배치했으며 동시 접속 인원을 60만 명까지 확대했다. 온라인 결제 시스템의 서버·운영체제·소프트웨어 환경 전면 교체, 계정·인증체계 강화, 네트워크 보안 및 데이터 암호화 고도화를 3개월 내 완료할 계획이다. 

고객 편익 조치로 유출 고객 전원에게 연말까지 금액과 무관한 무이자 10개월 할부를 무료 제공하고 금융피해 보상 서비스(크레딧케어)와 카드사용 알림서비스도 연말까지 무상 제공한다. 그러나 실질적인 금전적 피해 보상이 아닌 서비스 제공 위주여서 보상이 미미하다는 평가가 나온다.

중장기적으로는 5년간 1100억원을 정보보호에 투입하기로 했다. 이에 정보보호 예산 비중은 15%까지 확대될 전망이다. 24시간 실시간 통합보안 관제체계를 강화하고 전담 레드팀을 신설하는 한편 전사 IT 인프라를 정보보호 중심으로 전면 개편한다. 하지만 해킹 사고 이후 뒤늦게 내놓은 대책에 ‘사후약방문’이라는 지적도 제기된다.

이날 조좌진 롯데카드 대표는 긴급 기자회견을 개최했다. 조 대표는 “이번 침해 사고로 인해 발생한 피해에 대해서는 그 어떠한 손실도 고객에게 전가하지 않겠다”며 “책임지고 피해액 전액을 보상할 것이며, 이 부분에 대해서는 대표이사로서 고객 여러분께 확실히 약속드린다”고 약속했다.

롯데카드에서는 지난 2014년에도 대규모 개인정보 유출 사건이 발생했다. 해킹은 신용평가 업체 직원이 카드사에 파견돼 일하면서 개인정보를 USB에 담아 빼내는 방식으로 진행됐다. 이에 법원은 롯데카드에 피해를 본 이용자 3577명에게 각 10만원씩 배상하라는 판결을 내렸다.

여성경제신문 허아은 기자 ahgentum@seoulmedia.co.kr