대규모 해킹 사고로 롯데카드에서 297만 명의 회원 정보가 유출된 것으로 확인되면서 소비자들의 불안이 커지고 있다. 지금까지는 부정 사용 사례가 나오지 않았지만 28만 명은 카드번호와 유효기간, CVC 번호 등 민감 정보가 유출돼 향후 피해 가능성이 남아 있다. 롯데카드 측은 부정 사용시 전액 배상하고 정보가 유출된 고객 전원에게 올해 말까지 무이자 10개월 할부 서비스를 제공하겠다고 밝혔지만 해킹 피해규모조차 제대로 파악하지 못한 롯데카드의 관리 역량에 대한 비판의 목소리가 높다.
조좌진 롯데카드 대표는 18일 대국민 사과 기자회견을 열고 “대표이사로서 이번에 발생한 사이버 침해 사고에 무한한 책임을 느낀다”며 “롯데카드를 아껴주시는 고객과 유관기관에 실례를 끼쳐 죄송하다”며 고개를 숙였다.
금융감독원과 금융보안원의 현장 조사 결과 롯데카드에서 유출된 데이터는 당초 알려진 1.7GB(기가바이트)의 100배가 넘는 200GB 분량으로 드러났다. 앞서 롯데카드는 지난달 31일 온라인 결제 서버에서 같은 달 14~15일에 있었던 외부 해커의 정보 반출 시도 흔적을 발견하고 금융 당국에 사이버 침해 사실을 신고했다.
롯데카드에 따르면 유출된 정보는 7월 22일과 8월 27일 사이 특정 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터다. 세부 항목은 △카드번호 등 연계 정보(CI) △주민등록번호 △가상 결제코드 △내부 식별번호 △간편결제 서비스 종류 등으로 피해 고객만 297만 명에 이른다.
특히 해당 기간에 신규 페이 결제서비스에 가입하거나 e커머스 회사에 카드 정보를 새로 등록한 28만 명의 경우 카드번호와 비밀번호 2자리, 유효기간, CVC 등 부정 사용에 악용될 수 있는 정보가 유출된 것으로 나타났다. 오프라인 결제의 경우 마그네틱 실물카드 정보 등이 담겨 있지 않아 복제의 가능성은 없지만 온라인 결제 가운데 카드정보를 직접 입력하는 ‘키인’ 거래의 경우에는 부정 사용이 이뤄질 수 있다고 롯데카드 측은 설명했다.
이에 회사는 비일상적인 키인 거래에 대한 감시 체계를 강화하고 해외 키인 거래의 경우 유선을 통한 본인 확인을 거쳐 결제를 승인할 방침이다. 다만 아직까지 이번 해킹 사고에 따른 부정 사용은 발견되지 않았다. 롯데카드는 28만 명을 제외한 나머지 269만 명의 경우 암호화된 카드번호 등 일부만 유출돼 부정사용 가능성이 사실상 거의 없다고 설명했다.
롯데카드는 회원별 유출된 정보의 세부 항목을 홈페이지에서 조회할 수 있도록 했다. 정보가 유출된 회원 297만 명 전원에 대해 이날부터 개별적으로 안내 메시지를 발송한다. 부정 사용 가능성이 있는 28만 명에 대해서는 문자와 안내 전화를 병행해 카드 재발급 조치를 받을 수 있도록 유도하기로 했다.
회사는 정보 유출에 따른 부정 거래 발생시 해당 피해액을 포함해 연관성이 확인될 경우 2차 피해까지 전액 배상할 방침이다. 올해 말까지 금액과 상관없이 최장 10개월 무이자 서비스도 제공한다. 소액결제에 한해서도 연말까지 카드 사용 알림 서비스를 무료로 제공하고 금융피해 보상서비스인 ‘크레딧 케어’도 무상으로 제공한다. 민감 결제정보가 유출된 28만 고객에 대해서는 재발급시 차년도 연회비를 면제한다는 방침도 내놓았다.
롯데카드는 이번 사태를 계기로 경영 전반의 구조를 근본부터 혁신한다는 계획을 세웠다. 조 대표는 “저의 사임까지 포함해 연말까지 충분히 시장에서 납득할 만한 수준의 인적 쇄신을 단행하겠다”며 사임 가능성을 내비쳤다.
하지만 시장의 시선은 싸늘하다. 금융계의 한 관계자는 “처음부터 롯데카드 피해 규모가 300만 명가량 된다는 추측이 나돌았다”며 “롯데카드가 피해 규모를 줄이기 위해 급급했던 것 아니냐는 생각이 든다”고 지적했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
zero@sedaily.com
