조좌진 롯데카드 대표 대국민 사과 기자회견
피해자 297만명 중 28만명, 부정사용 가능성
초기 조사 대비 100배 많은 200GB 데이터 유출
연말까지 피해 보상 및 조직·인적 쇄신 단행
롯데카드에서 해킹으로 개인정보 유출 피해를 입은 고객이 297만명에 이르는 것으로 나타났다. 특히 이 중 부정사용 피해 가능성이 있는 고객은 28만명에 달하는 것으로 파악돼 금융소비자들의 불안이 증폭되고 있다.
18일 조좌진 롯데카드 대표는 서울 중구 부영태평빌딩에서 기자회견을 열고 이번 사고의 경과를 비롯해 고개 정보 유출 내역, 고객 보호 방안 등을 발표했다.
롯데카드가 정보 유출 피해를 인지한 지난달 31일 이후 18일 만의 조치다.
롯데카드는 지난 8월 26일 온라인 결제 서버에서 외부 해커의 침해 흔적을 발견하고 정밀조사를 시작했다. 당시 점검 결과 3개 서버에서 2종의 악성코드와 5종의 웹쉘(해커가 웹 서버를 원격 제어하기 위해 설치하는 악성 코드)을 발견해 즉시 삭제 조치했다.
이후 지난 8월 31일 낮 12시경 온라인 결제 서버에서 외부 공격자가 1.7기가바이트(GB) 분량의 데이터 반출을 시도했던 흔적을 발견했고, 다음날인 지난 1일 오전 10시 금융당국에 침해사고 사실을 보고했다.
지난 2일부터 금융감독원과 금융보안원의 현장 검사가 진행됐고, 조사 과정에서 200GB 분량의 데이터가 추가적으로 반출된 정황이 발견됐다. 이에 따라 관계 기관과 정밀분석을 진행했고, 전날인 9월 17일 특정 고객의 일부 고객정보가 유출된 사실이 최종적으로 확인됐다.
이번에 정보가 유출된 롯데카드 회원 규모는 총 297만명에 달한다.
이번에 정보가 유출된 고객 297만명은 유출 범위에 따라 크게 저위험(269만명), 고위험(28만명) 등 두 가지 유형으로 나뉜다.
먼저 롯데카드에 따르면 이번 피해 고객 중 대다수를 차지하는 269만명의 경우 일부 항목만 제한적으로 유출됐다. 롯데카드 측은 이 고객들은 부정 사용 가능성이 없으며 카드 재발급을 별도로 할 필요가 없다고 판단했다.
나머지 28만명은 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객들이다. 이 고객들은 지난 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록한 사람들이다. 유출정보의 범위는 온라인 신규등록 시 필요한 카드번호와 비밀번호(2자리), 유효기간, CVC, 고객정보 등이다.
이 고객들에 대해서 롯데카드는 재발급 및 비밀번호 변경 유도 문자와 전화 안내를 이날부터 진행할 예정이다.
롯데카드 측은 “28만명의 피해 고객에 대해 오프라인 부정 사용이 일어날 가능성은 매우 낮지만, 유일하게 단말기에 카드정보를 직접 입력해 결제하는 방식인 일부 ‘키인(KEY IN)’ 거래의 경우 오프라인 부정 사용 가능성이 존재한다”고 했다.
키인 결제는 카드 단말기에 카드를 접촉시키는 대신 카드번호 및 유효기간 등을 고객이 직접 입력하는 방식으로 이뤄진다. 전체 결제 규모의 1.15%를 차지한다.
아직까지 부정 사용 사례는 확인되지 않았지만, 롯데카드는 만일의 추가 피해를 방지하기 위해 24시간 부정거래 감지 모니터링 시스템을 가동하고, 해외 키인 결제의 경우 사전 승인 차단 후 본인 확인을 거쳐 승인되도록 조치하고 있다.
조좌진 대표 “책임 지고 연말까지 인사 개편”
롯데카드는 이번 정보 유출 피해를 입은 고객들에 대해 부정거래 발생 시 피해액 전액을 보상할 방침이다. 카드 알림 서비스와 롯데카드의 유료 금융피해 보상 서비스인 ‘크레딧케어’도 연말까지 무료로 제공한다. 이 고객들에겐 연말까지 최대 10개월 무이자 할부 서비스도 적용된다.
특히 부정사용 가능성이 있어 카드 재발급이 필요한 28만명의 고객에 대해선 재발급 시 차년도 연회비를 전액 면제할 계획이다.
이날 조 대표는 이번 사태의 책임을 지기 위한 조직 및 인적 쇄신 계획도 밝혔다.
조 대표는 “대표이사인 저를 포함해 대대적인 인적쇄신을 연말까지 완료하겠다”며 “현재의 기능 중심적으로 구성된 조직을 고객 중심, 고객가치 중심, 고객보호 중심으로 재구성하고 전사 IT 시스템 인프라 역시 정보보호 중심으로 전면적으로 개편 할 것”이라고 말했다.
뿐만 아니라 롯데카드는 향후 5년간 정보보호 관련 투자액을 1100억원 집행함으로써 IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다고 약속했다.
이를 통해 자체 보안관제 체계를 구축해 24시간 실시간 통합보안 관제체계를 강화하고, 전담 레드팀을 신설해 해커의 침입을 가정한 예방 활동을 상시화하겠단 전략이다.
조 대표는 “이번 침해사고의 대응 과정을 투명하게 공개함으로써 고객분들의 염려와 불편을 최소화하고, 고객 피해를 ZERO(제로)화 하겠다”고 거듭 사죄했다.