[로이슈 심준보 기자] 롯데카드가 18일 기자간담회를 열고 외부 해킹 공격으로 297만명의 고객 개인정보가 유출된 것으로 확인됐다고 밝혔다.

조좌진 롯데카드 대표는 이날 오후 서울 중구 부영태평빌딩에서 기자회견을 열어 "고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다"며 이같이 밝혔다. 또 자신의 사임을 비롯해 인적쇄신을 하고, 보안 조치를 강화하겠다고 전했다.

유출이 확인된 회원 정보는 온라인 결제 과정에서 생성·수집된 데이터로 ▲ 연계 정보(CI) ▲ 주민등록번호 ▲ 가상 결제코드 ▲ 내부 식별번호 ▲ 간편결제 서비스 종류 등이다.

조 대표는 "전체 유출 고객 중 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명"이라며 "유출 정보 범위는 카드번호, 유효기간, CVC번호 등"이라고 말했다.

이들은 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드정보를 신규 등록한 고객으로 단말기에 카드 정보를 직접 입력해 결제하는 키인(Key in) 거래 시 부정사용 가능성이 있다.

다만 국내에서 키인 결제가 가능한 가맹점은 약 1.15%이며, 현재까지는 이상이 없다는 것이 롯데카드의 설명이다.

조 대표는 이들에 대해 "카드 재발급 조치가 최우선으로 이뤄지도록 하겠다"며 "전날 저녁 6시 기준 28만명 중 약 5만5천명은 카드재발급, 사용정지, 회원탈퇴가 완료됐다"고 했다.

나머지 269만명에 대해서는 "일부 항목만 제한적으로 유출됐다"며 "해당 정보만으로 카드 부정사용이 발생할 가능성은 없다"고 말했다.

그러면서 "정보 유출은 온라인 결제 서버에 국한해 발생했으며, 오프라인 결제와는 전혀 무관하다"며 "고객 성명도 유출되지 않았다"고 설명했다.

피해 구제 방안으로는 전액 보상 방침을 밝혔다.

조 대표는 "이번 사고로 발생한 피해는 롯데카드가 책임지고 피해액 전액을 보상할 것"이라며 "2차 피해도 연관성이 확인되면 전액 보상하겠다"고 말했다.

이밖에 고객 정보가 유출된 고객 전원에게 연말까지 결제 금액과 관계 없이 무이자 10개월 할부 서비스를 무료로 제공하기로 했다.

아울러 카드 재발급 대상인 28만명에게는 재발급 시 다음 해 연회비를 한도 없이 면제하기로 했다.

앞서 롯데카드는 지난 1일 해킹 공격을 당해 1.7GB 규모의 데이터가 유출됐다고 금융당국에 신고했다. 하지만 조사 결과 실제 유출 규모는 이보다 훨씬 큰 것으로 드러났다.

처음 해킹 사고가 발생한 것은 지난달 14일이었으나, 회사 측은 월말이 돼서야 사태를 파악하고 조사에 나섰다.

조 대표는 사고 경과와 관련, "8월 26일 온라인 결제 서버에서 외부 해커 침해 흔적을 발견했다"며 "31일 1.7GB 분량의 데이터 반출을 시도한 흔적을 발견했다"고 설명했다.

이어 "9월 2일부터 금융감독원과 금융보안원 현장 검사가 진행됐고, 200GB 분량의 데이터가 추가 반출된 정황을 발견했다"며 "어제 특정 고객의 일부 고객 정보가 유출된 사실을 최종 확인했다"고 전했다.

최초 해킹 사고 발생 이후 인지까지 17일이 걸린 이유에 대해 최용혁 정보보호실장은 "해커가 일반적인 침해행위와 다른 수법을 활용했고, (악성코드가 설치됐던) 웹로직 취약점은 평소 사용량이 미비해 인지가 늦었다"고 설명했다.

롯데카드는 이번 사고를 계기로 보안 조치를 강화할 계획이다.

조 대표는 "고객 피해 제로화를 최우선 과제로 삼고 대표이사 주재로 전사적 비상대응체계를 가동하겠다"고 밝혔다.

특히 앞으로 5년 동안 1천100억원 규모의 정보보호 관련 투자를 집행, 자체 보안 관제 체계를 구축하기로 했다.

IT예산 대비 정보보호 예산을 현행 10%에서 15%까지 늘리는 조치다.

MBK파트너스가 롯데카드를 인수한 시기 정보보호 비용을 절감했냐는 질문에 조 대표는 "2021년 137억원을 투자해 정보보호 관련 투자를 했고, 2022년부터 2025년까지 정보보호 관련 투자는 지속적으로 확대했다"며 "인력도 15명에서 30명으로 2배 늘렸다"고 설명했다.

다만 "이번 노력이 사태를 막을 만큼 충분했냐는 부분에는 반성의 여지가 많다"며 "그 부분에 가장 큰 책임은 제가 져야 한다"고 했다.

2020년에는 내부정비 작업을 하고, 2021년 DB구축, 백업시스템 고도화 등 정보보호 관련 투자를 했다"고 설명했다.

조 대표는 "대표이사인 저의 사임을 포함해서 시장에서 납득할 만한 수준의 대대적인 인적 쇄신을 연말까지 완료하겠다"며 "고객 피해를 제로화하고 불편을 최소화하는 임무가 대표로서의 마지막 책무"라고 덧붙였다.

심준보 로이슈(lawissue) 기자 sjb@rawissue.co.kr