28만명 CVC, 유효기간, 주민번호까지 털렸다…롯데카드, 297만명 정보 유출

롯데카드 해킹 사고로 총 297만명에 이르는 개인정보가 유출된 것으로 밝혀졌다. 이 중 28만명은 카드번호는 물론 비밀번호, 유효기간, 보안코드(CVC)와 주민등록번호, 연계정보(CI), 전화번호 등 고객정보까지도 대거 유출됐다. 국내는 물론 해외에서 유출된 고객정보를 이용해 부정 사용이 가능할 정도로 심각한 유출 피해가 상황이다.

조좌진 롯데카드 대표는 18일 서울 중구 부영태평빌딩에서 기자회견을 열고 “정보가 유출된 총 회원 규모는 297만명”이라면서 “금융감독원, 금융보안원 및 자체 조사를 통해 9월 17일 일부 고객 정보가 유출된 사실을 확인했다”고 밝혔다.

유출된 정보는 7월 22일과 8월 27일 사이 해킹 피해가 발생한 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터다. 특히 297만명 가운데 28만명은 카드번호를 비롯해 비밀번호 2자리, 유효기간, CVC와 함께 CI, 주민번호, 생년월일, 전화번호까지 유출된 것으로 확인됐다.

이들 28만명의 경우 키인 거래 등 일부 특수 결제 방식을 통한 부정 사용 가능성이 남은 상황이다. 키인 거래는 단말기에 카드번호와 정보를 직접 입력해 결제하는 방식을 의미한다.

조 대표는 “부정사용 가능성이 있는 고객 28만명에게는 재발급 안내 문자를 추가로 발송하겠다”면서 “안내전화도 병행해 '카드 재발급' 조치가 최우선적으로 이루어지도록 하겠다”고 밝혔다. 그러면서 부정 사용 우려로 인해 카드를 재발급받은 28만명에게는 이듬해 연회비를 면제해주기로 했다. 롯데카드 측에서는 약 56억원 가량의 비용이 투입될 것으로 추정했다.

CI와 주민등록번호, 카드번호까지 유출된 고객을 포함하면 75만명에 이른다. 나머지 222만명은 카드번호와 온라인결제정보까지 유출된 것으로 확인됐다. 롯데카드에서는 개인신용정보가 유출된 전체 297만명에 대해서는 금일 중으로 해당 사실을 고지하고, 정보 유출로 인한 부정거래가 발생할 경우 전액을 보상하기로 했다.

해킹 사고 발생 이후 인지가 늦은 이유에 대해서는 “사용량이 미비한 서버여서 사실을 인지하는데 어려움이 있었다”면서 “해킹 수법이 상당히 교묘했다”고 롯데카드 측은 해명했다.

조 대표는 “심려를 끼쳐드린 점 진심으로 사과한다”면서도 정보보호(IT)와 관련한 투자를 소홀히 했다는 지적에 대해서는 반발했다. 그러면서 “향후 5년간 1100억원의 정보보호 관련 투자를 집행함으로써 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다”고 강조했다.

류근일 기자 ryuryu@etnews.com