롯데카드, 해킹으로 297만 명 고객 정보 유출

[아이티데일리] 롯데카드가 외부 해킹으로 고객 297만 명의 정보 200기가바이트(GB)를 유출했다. 이 가운데 28만 명의 경우 온라인 부정 거래에 악용될 소지가 있는 정보까지 탈취당했다. 롯데카드는 피해 사실을 고객에게 알리는 한편 FDS 강화 등 대책을 마련해 우려 불식에 나섰다.

롯데카드는 18일 서울 중구 부영태평빌딩에서 기자 간담회를 열고 최근 불거진 해킹 사고로 297만 명의 고객 정보가 유출된 사실을 발표했다.

롯데카드 조좌진 대표는 “고객의 정보를 관리하는 금융회사로서 보안 관리에 중대한 미흡이 있었다는 점은 용서될 수 없는 일”이라며 “고객 여러분께 심려를 끼쳐 진심으로 죄송하다”고 밝혔다.

롯데카드는 지난 8월 31일 온라인 결제 서버에서 외부 해커의 정보 반출 시도 흔적을 발견하고 금융당국에 침해 사실을 신고했다. 해킹 사고가 최초 발생한 것은 8월 14일이었음에도 월말이 돼서야 사태를 파악하고 조사에 나섰다. 이후 금융감독원, 금융보안원 및 자체 조사를 통해 9월 17일 고객 정보 유출을 확인했다.

조사 결과, 해킹 사고로 정보가 유출된 회원 규모는 총 297만 명이다. 롯데카드는 올 상반기 기준 회원 967만 명을 보유한 국내 6위 규모의 카드사다. 유출된 회원이 전체에서 3분의 1에 달한다.

이번에 발표된 내용은 고객 정보 유출이 없었다는 롯데카드의 당초 입장과는 다른 결과다. 데이터 규모 역시 처음에 알려진 1.7기가바이트(GB)가 아니라 200GB에 달하는 것으로 확인됐다.

유출 정보는 올해 7월 22일부터 8월 27일 사이 온라인 결제 서버에서 생성·수집된 데이터다. 세부 항목은 △연계 정보(CI) △주민등록번호 △가상결제코드 △내부식별번호 △간편결제 서비스 등이며 개인별로 차이가 있다. 연계 정보는 온라인상에서 주민번호 대신 본안 확인을 위해 암호화된 고윳값이다.

이 가운데 28만 명은 개인정보와 함께 카드번호, 비밀번호 두 자리, 유효기간, CVC(Card Verification Code) 번호까지 유출됐다. 이 경우 카드번호를 단말기에 직접 입력하는 ‘키인(Key-in)’ 거래에 악용될 소지가 있다. 롯데카드는 이 고객들 대상으로 카드 재발급 및 비밀번호 변경을 안내하고, 이상거래탐지시스템(FDS) 모니터링을 강화할 계획이다. 재발급 차년도 연회비는 전액 면제된다.

이 밖에 269만 명의 경우 CI, 가상결제코드가 유출됐으나 해당 정보만으로 카드 부정 사용이 불가해 재발급하지 않아도 된다고 회사는 설명했다. 다만 고객 정보 보호를 위해 비밀번호 변경과 해외결제 차단을 권고했다.

롯데카드는 정보 유출로 인한 부정거래 발생 시 2차 피해를 포함해 전액 보상을 약속했다. 고객이 부정한 거래를 확인할 수 있도록 카드 알림 서비스를 무료 제공하는 한편, 금융피해 보상 서비스(크레딧 케어)도 연말까지 무료 제공한다.

고객 정보가 유출된 297만 명에게는 오늘부터 안내 메시지를 발송한다. 특히 부정 사용 가능성이 있는 28만 명에게는 재발급 사항을 추가 공지하며 안내 전화를 병행한다. 해외 온라인 결제 시 기존 이력이 없는 가맹점에서의 결제 건은 전화 본인 확인 후에만 승인하도록 조치했다. 국내 결제에도 사전·사후 모니터링을 강화했다.

조좌진 대표는 “향후 5년간 정보보호에 1,100억 원을 투자해 통합보안 관제체계 강화, 인프라 개편 등 노력을 기울이겠다”며 “고객 피해를 없애고 불편을 최소화하는 임무가 롯데카드 대표로서 마지막 책무라는 마음가짐으로 최선을 다하겠다”고 말했다.