[서울=뉴스핌] 이윤애 기자 = 롯데카드가 최근 발생한 사이버 해킹 사고로 총 297만명의 고객 정보가 유출된 사실을 공식 확인했다. 이 가운데 28만명은 카드번호와 유효기간, CVC(카드 확인 코드)번호까지 함께 노출돼 부정 사용 위험에 노출된 것으로 파악됐다.

롯데카드는 전사 비상대응체계를 가동해 고객 피해 차단에 나서고 있으며 피해 발생 시 전액 보상하겠다고 밝혔다. 또 무이자 할부와 금융피해 보상 서비스, 카드사용 알림 서비스 등을 연말까지 무료로 제공하고 향후 5년간 1100억원을 투입해 정보보호 예산을 업계 최고 수준인 15%까지 확대한다는 계획이다.

18일 롯데카드는 서울 중구 부영태평빌딩에서 언론브리핑을 열고 사고 경과와 피해 규모, 향후 대책을 발표했다.

조좌진 롯데카드 대표는 이 자리에서 "최근 발생한 사이버 침해 사고로 고객 여러분께 크나큰 불안과 심려를 끼쳐드린 점에 대해 대표이사로서 무한한 책임을 느끼고 있다"며 고개를 숙였다. 이어 "현재까지 고객정보가 악용된 피해 사례는 확인되지 않았지만 만약 피해가 발생한다면 전액 보상하겠다"고 말했다. 또한 이번 해킹 피해에 대해 대대적인 사내 인적 쇄신을 예고하며 필요할 경우 사임도 불사하겠다는 입장을 밝혔다. 

롯데카드에 따르면 이번에 유출된 정보는 지난 7월 22일부터 8월 27일 사이 온라인 결제 과정에서 생성·수집된 데이터다. 전체 회원(약 960만명)의 3분의 1에 해당하는 297만명이 피해를 입은 것으로 확인됐다.

이 가운데 269만 명은 연계정보(CI), 가상결제코드 등이 유출돼 카드 부정 사용 가능성은 낮다고 회사 측은 설명했다. 그러나 28만 명은 카드번호·비밀번호 일부·유효기간·CVC 번호 등이 함께 노출돼 '키인 결제(KEY IN)' 방식 등 특수 결제를 통한 부정 사용 위험이 존재한다.

조 대표는 "현재까지 부정 사용 사례는 없다"며 "해외 온라인 결제는 전화 본인 확인 후 승인되도록 하고, 국내 키인 결제 가맹점도 추가 본인 인증 절차를 거쳐야 해 부정 사용 가능성은 낮다"고 강조했다.

롯데카드는 피해 고객 전원에게 안내 메시지를 발송하고, 부정사용 우려가 큰 28만명에 대해서는 재발급 문자와 안내전화를 병행하고 있다. 해당 고객들에게는 차년도 연회비를 전액 면제하기로 했다. 조 대표는 "17일 기준 28만명 중 약 5만5000명이 재발급·사용정지·탈회 절차를 완료했다"며 "연회비 면제 규모는 최소 56억원 수준"이라고 설명했다.

또한 앱 메인 화면에 재발급·해외결제 차단·비밀번호 변경 메뉴를 배치하고, 동시 접속 인원을 60만명까지 확대했다. 24시간 전용 상담센터 인력도 보강했다.

조 대표는 "해커가 1.7GB 파일을 압축해 반출한 뒤 흔적을 교묘하게 지워 초기 파악이 어려웠다"며 "200GB의 데이터를 4700여 개 조각으로 나눠 가져갔고, 복구 및 고객별 매칭 과정에 시간이 걸렸다"고 설명했다.

MBK파트너스 인수 이후 정보보호 투자가 소홀했다는 지적에 대해서는 "2019년 당시 71억원 수준이던 정보보호 투자가 2021년 137억원으로 늘었고 인력도 19명에서 현재 30명 수준으로 확대됐다"며 일축했다.

롯데카드는 이번 사태를 계기로 보안 투자를 대폭 강화한다. 향후 5년간 1100억원을 투입해 서버·운영체제·소프트웨어 환경을 전면 교체하고 전담 레드팀을 신설해 해킹 침투를 가정한 상시 점검 체계를 마련할 방침이다.

조 대표는 "이번 사태를 단순한 보안사고로 보지 않고 고객 중심의 경영 혁신 계기로 삼겠다"며 "대표이사를 포함한 대대적 인적쇄신과 IT 인프라 전면 개편을 연말까지 완료하겠다"고 밝혔다.

yunyun@newspim.com