967만명의 회원을 보유한 롯데카드가 서버 해킹으로 인해 총 297만명의 회원 정보가 유출됐다. 유출된 항목은 CI(연계정보), 주민등록번호, 가상 결제코드, 내부식별번호, 간편결제 서비스 종류 등이며, 이 중 유출된 정보가 카드 부정 사용으로 이어질 고객은 총 28만명으로 파악된다. 조좌진 롯데카드 대표이사는 18일 기자 브리핑을 열고 대국민 사과를 하며 피해액 전액을 보상한다고 고개를 숙였다.
롯데카드는 이날 서울 중구 부영태평빌딩에서 사고 경과, 고객정보 유출 내역, 고객보호 조치에 대해 밝혔다. 고객정보가 유출된 회원은 297만명으로 정보 유출은 온라인 결제 서버에 국한해서 발생, 오프라인 결제와는 무관하다고 롯데카드 측은 설명했다.
유출된 정보는 지난 7월 22일과 지난달 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터다. 카드 부정사용으로 이어질 가능성이 있는 28만명 고객은 7월 22일부터 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드정보를 신규로 등록한 경우가 해당된다. 유출정보의 범위는 온라인 신규등록 시 필요한 카드번호, 유효기간, CVC번호 등이 포함된다. 단말기에 카드정보를 직접 입력해 결제하는 방식인 일부 키인(KEY IN) 거래의 경우에는 부정사용 가능성이 존재하나 현재까지 부정사용 사례는 확인되지 않았다는 게 롯데카드 측 설명이다.
사고는 지난달 13일 신원 미상의 해커가 롯데카드 온라인 시스템 내 악성코드(웹셀)를 설치한 이후 27일까지 해당 시스템 내 온라인결제 이력 정보가 적재된 로그 등 200기가바이트(GB) 정보를 유출했다. 해커의 신원은 아직 명확히 밝혀지지 않았다.
롯데카드는 고객정보가 유출된 297만 고객 모두에게는 이날부터 개별적으로 고객정보 유출 안내 메시지를 보내고, 특히 부정사용 가능성이 있는 고객 28만명에게는 재발급 안내 문자를 추가로 발송하는 등 안내전화도 병행해 ‘카드 재발급’ 조치가 최우선적으로 이뤄지도록 한다는 계획이다.
고객정보가 유출된 고객 전원은 연말까지 금액 상관없이 10개월 할부 서비스 무료와 피싱, 해킹 등 금융사기 또는 사이버 협박에 의한 손해 발생 시 보상하는 금융피해 보상 서비스인 크레딧케어가 무료로 제공된다. 28만명 고객에게는 카드 재발급 시 차년도 연회비를 한도 없이 면제한다.
조 대표는 “이번 침해 사고로 인해 발생한 피해에 대해서는 롯데카드가 책임지고 피해액 전액을 보상하겠다”고 약속했다.
롯데카드는 향후 5년간 1100억원의 정보보호 관련 투자를 집행해 IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다는 계획이다.
이주희 기자 jh224@segye.com
