[비즈한국] 롯데카드에서 대규모 개인정보 유출 사고가 발생했다. 정보 유출이 확인된 고객 수는 297만 명, 데이터 규모는 200기가바이트(GB)를 넘는 것으로 확인됐다. 롯데카드는 최종 조사 결과가 나온 직후 대국민 사과와 함께 고객 지원 방안을 발표하고 정보 보호 투자 확대를 약속했다. 롯데카드는 비교적 투명하게 사고 과정을 공개하며 대응에 나섰지만, 애초 ‘개인정보 유출은 없었다’고 밝힌 것과 달리 대규모로 개인정보가 새어나간 사실이 드러나면서 거센 후폭풍이 예상된다.
롯데카드에서 해킹 사고로 297만 명의 개인정보가 유출됐다. 외부로 새어나간 정보 규모만 200GB가 넘는다. 조좌진 롯데카드 대표는 9월 18일 사고 브리핑을 통해 직접 이 같은 내용을 발표했다. 롯데카드는 개인정보 유출이 확인된 297만 명 고객에 문자로 해킹 사실과 조치 사항을 안내하고 있다.
롯데카드는 금융당국에 처음 신고할 당시 유출된 데이터 규모가 1.7GB 수준이라고 보고했으나, 조사 결과 200GB 규모의 추가 정보 유출이 드러났다. 롯데카드에 따르면 해킹으로 정보가 유출된 것은 8월 13일부터 27일까지다. 해킹된 온라인 서버를 통해 결제하는 과정에서 생성·수집된 정보가 빠져나갔으며 △연계 정보(CI, 암호화한 개인 식별 정보) △가상 결제 코드 △간편 결제 서비스 등이 해당한다.
문제는 부정 결제 피해를 볼 가능성이 있는 고객이 28만 명에 달한다는 사실이다. 이들 28만 명은 7월 22일부터 8월 27일 사이 페이 결제 서비스나 온라인 커머스에 신규로 카드를 등록한 고객이다. 유출된 개인정보는 △카드 번호 △유효기간 △CVC 번호 등이 해당한다.
다만 롯데카드는 실물 카드 복제에 필요한 정보는 포함하지 않아 유출한 정보만으로 오프라인에서 부정 결제를 하는 것은 불가능하다고 설명했다. 온라인 결제에서는 문자(SMS) 인증, 생체 정보 인증 등 2차 절차가 있어 부정사용이 어렵다고 설명했다. 다만 단말기에 직접 카드 정보를 입력하는 ‘키인(Key In)’ 방식으로는 부정사용 가능성이 있으나, 아직 사례는 나타나지 않았다.
롯데카드가 서버 침입 흔적을 처음 발견한 것은 8월 26일이다. 이후 8월 31일 온라인 결제 서버에서 외부로 정보 반출을 시도한 흔적을 발견하고 9월 1일 오전 10시 금융당국에 이를 신고했다. 그러나 해커가 온라인 결제 서버에 악성코드를 처음 심은 것은 8월 13일로 확인됐다. 이에 롯데카드가 2주가량 지나 사고를 인지했다는 점에서 보안이 미흡한 것 아니냐는 지적이 나왔다.
사고 경위는 이렇다. 외부 공격자(해커)는 8월 14~15일 1.7GB 규모의 파일을 유출한 뒤, 8월 15~27일 온라인 결제 전문 처리 과정에서 발생한 2708개(중복 제외)의 로그 파일을 추가로 빼돌렸다. 이 중 56%가 암호화된 파일이며, 나머지 44%는 평문 상태로 유출됐다. 문제는 8월 14~15일 유출된 1.7GB의 파일로, 해커가 파일 유출 후 서버 내 파일을 삭제해 롯데카드는 어떤 내용이 유출됐는지 확인하지 못한 상태다.
최용혁 롯데카드 정보보호 실장은 “일반적인 침해와는 다른 수법이었다. 게다가 사용량이 거의 없는 서버가 해킹돼 인지가 늦었다”며 “해커가 대용량으로 정보를 가져가지 않고 조금씩 가져가면서 오래 걸렸다”고 답했다. 사건 발견 이후 내용 파악까지 시간이 걸린 이유에 대해 조 대표는 “200GB의 암호화한 파일을 복구해 고객별로 매치하고 정보를 분류하는 작업에서 시간이 소요됐다. 이 작업이 17일 오후 6시쯤 마무리됐다”고 해명했다.
해킹 공격 주체는 아직 찾지 못했다. 조좌진 대표는 “사이버 수사대가 IP나 클라우드 업체를 추적해 조사하고 있다”며 “해킹 수법을 통해 해외의 한 해커 집단으로 추정하고 있지만 특정하진 못한 상황”이라고 답했다.
롯데카드는 고객 지원과 보호조치 방안으로 △부정사용 발생 시 피해액 전액 보상 △카드 재발급 우선 조치 △침해사고 전용 24시간 상담센터 인력 확충 △정보 유출 대상자에게 연말까지 금액 제한 없는 무이자 10개월 할부 제공 △금융 피해 보상 서비스 ‘크레딧케어’ 무료 제공 △카드 사용 알림 서비스 무료 제공 등을 안내했다. 특히 부정 결제 가능성이 있는 28만 명에게는 카드 재발급 시 다음 연도 연회비를 한도 없이 면제한다고 밝혔다.
정보보호 투자도 확대한다. 향후 5년간 1100억 원의 정보보호 관련 투자를 집행하고, IT 예산 대비 정보보호 예산 비중을 15%까지 끌어올린다는 계획이다. 비용 절감으로 비롯된 문제 아니냐는 지적에 조 대표는 “내부 인력과 정보보호 투자비용을 꾸준히 늘렸고, 화이트해커를 쓰는 등 나름대로 대비했으나 충분하지 못한 것 같다”라고 답했다.
한편 롯데카드는 금융당국의 처분을 피하기 어려울 것으로 보인다. 2014년에도 카드사 개인정보 유출 사건으로 KB국민카드, NH농협카드, 롯데카드는 금융위로부터 영업정지·과태료 처분을 받은 바 있다. 더불어 16일 이찬진 신임 금융감독원장이 여신전문금융회사 CEO와의 간담회에서 “카드업권은 전 국민의 정보를 다룬다는 점에서 무관용 원칙으로 대표이사가 직접 나서 보안대책의 수립과 시행에 만전을 기해달라”며 “금감원은 촘촘히 관리·감독하고, 위반 사례에 대해서는 엄정하고 무거운 책임을 묻겠다”고 언급하기도 했다.
조좌진 대표는 사태에 책임을 지고 임기 만료 전 자리에서 물러날 결심을 한 것으로 보인다. 조 대표는 18일 “대표이사인 저를 포함해 연말까지 대대적인 인적 쇄신을 완료하겠다. 대표직 사임을 포함해 시장에서 납득할 만한 수준의 쇄신이 있을 것”이라며 “고객 피해를 제로화하고 불편을 최소화하는 임무가 롯데카드 대표이사로서의 마지막 책무라는 결연한 마음으로 최선을 다하겠다”고 밝혔다.
조 대표는 2020년 3월 롯데카드 대표이사에 취임한 후 2022년 3월, 2024년 3월 세 차례 연임에 성공했다. 재임 기간은 2년으로 현재 임기는 2026년 3월까지다.
심지영 기자
jyshim@bizhankook.com[핫클릭]
·
실적 부진에 꼼수 인상 논란 '설상가상'…교촌치킨 무슨 일?
·
KT 소액결제 사태 일파만파…김영섭 KT 대표 연임 가능할까
·
[인터뷰] 김소연 피씨엘 대표 "상폐 결정 이례적, 가처분 신청해 개선기간 받을 것"
·
“2조 4234억 썼지만…" 국내 기업 정보보호 투자, 세계 기준엔 미달
·
[긴급점검] 잇단 해킹 피해, 온라인서점 4사 보안 실태 현 주소
![[현장] 롯데카드 개인정보 유출 수습 왜 늦었나](/images/common/list01_guide02.png)
