늦장 인지·거짓 해명, 피해자 대처 기회 빼앗아…집단소송 확산 조짐
[서울=뉴스핌] 이윤애 기자 = 롯데카드가 해킹 사고 이후 한 달 가까이 피해 사실을 축소·은폐하면서 민감한 개인정보가 털린 피해자들은 수차례 피싱·스미싱 공격에 무방비로 노출된 사실이 드러났다.
회사가 "정보 유출은 없다"고 단언한 그 기간, 피해자들은 대처할 시간조차 빼앗긴 채 불안 속에 방치됐다. 단순한 해킹을 넘어 '거짓 해명'이 불러온 2차 피해 논란이 커지고 있다.
◆ "피해 없다" 롯데카드 해명 vs 현실에선 연이은 피싱 공격
19일 뉴스핌의 취재를 종합하면 민감 정보가 유출된 28만명 중 한 피해자는 지난 8월부터 스미싱 문자와 이메일을 수차례 받았다. 특히 9월 들어서는 이틀에 한 번꼴로 메시지가 도착해 "내 정보가 이미 털렸다는 사실을 직감했다"고 토로했다.
문제는 카드사가 전날까지 지속적으로 "개인정보 유출은 없다"고 부인하면서 피해자들이 적극적으로 대처할 기회를 잃었다는 점이다. 해당 가입자는 "회사 발표를 믿고 조사 결과를 기다렸지만 만약 그 사이 피싱 문자를 클릭했다면 더 큰 피해가 났을 것"이라며 불안감을 호소했다.
그러나 조좌진 롯데카드 대표는 전날에도 "현재까지 부정 사용 사례는 없다"며 피해 축소에만 급급한 모습을 보였다.
◆ 동시 유출된 '핵심 정보'…2차 피해 위험 훨씬 광범위
롯데카드 해킹 사고로 약 200GB(기가바이트) 규모의 데이터가 유출되면서 297만명의 회원 정보가 새어나갔으며 이중 28만명은 카드번호와 비밀번호 2자리, 유효기간, CVC번호까지 유출돼 부정 사용 여지가 남아있다.
롯데카드는 유출 정보의 위험성을 단말기에 카드 정보를 직접 입력해 결제하는 '키인 결제' 방식의 악용 가능성에 한정하며 이를 이미 선제 차단했다고 강조했다. 그러나 유출된 정보는 단순 금융정보를 넘어 사생활 침해와 신분 도용까지 가능한 수준이란 지적이 나온다.
보안 업계 한 전문가는 "주민등록번호와 결제내역이 함께 노출된 경우 단순 결제 사기를 넘어 지인 사칭, 계정 탈취, 신분 도용 등 맞춤형 범죄 시나리오가 얼마든지 가능하다"며 "롯데카드의 설명은 사고의 심각성을 축소한 것"이라고 지적했다.
구체적으로 ▲결제내역·상품명을 활용한 지인 사칭 보이스피싱 ▲성별·생년월일·금액을 조합한 정교한 사기 ▲다크웹 거래를 통한 장기적 범죄 활용 등 다양한 2차 피해 시나리오가 현실화될 수 있다.
◆ 한 달간 꽁꽁 숨긴 피해 사실…피해자들 "대처 기간 빼앗겼다"
피해자들이 분통을 터뜨리는 대목은 해킹 사실을 롯데카드가 제때 알리지 않았다는 점이다. 해킹은 지난달 14일 발생했지만 회사가 이를 인지한 것은 무려 17일이 지나서였다. 이후에도 보름 넘게 금융감독원 조사를 이유로 피해 사실을 알리지 않고 "정보 유출은 없다"는 입장을 고수했다.
롯데카드는 정확한 사실 확인 전 불안감을 조성하지 않기 위해 고객들에게 피해 사실을 고지하지 않았다고 설명하지만 심각한 정보 유출은 최소 열흘 전에는 파악했을 것으로 추정된다. 28만명 중 일부는 지난 7일 전후로 카드 교체 안내 문자를 받았기 때문이다. 하지만 그마저도 "고객 정보 유출 사실은 확인되지 않았다"는 설명을 보태면서 사실상 재발급 결정을 미뤄도 문제가 없다고 오해하게 했다.
조좌진 롯데카드 대표는 "17일 기준 28만명 중 5만5000명에 대해 카드 재발급, 사용정지, 회원 탈퇴 등이 이뤄졌다"고 밝혔다. 그러나 이는 곧 나머지 22만5000명이 제때 사실을 알지 못하거나 회사의 '유출 부인' 해명 탓에 적극적인 조치를 취하지 못했다는 방증으로도 해석된다.
문자를 받은 피해자는 "이틀 전인 16일 롯데카드 고객센터에 전화했을 때도 '고객님의 정보 유출 사실은 확인되지 않았습니다'며 거짓말을 했다"고 분노했다.
결과적으로 피해자들은 한 달 이상 자신의 민감 정보가 털린 줄도 모른 채 무방비 상태로 방치됐다.
◆ 집단소송 움직임…역대 최대 피해 규모로 번질 수도
현재 피해자들 사이에서는 집단 소송 움직임이 확산하고 있다. 네이버 카페 등 온라인 공간에는 "소송에 참여하겠다"는 글이 잇따르고 있다. 이번 유출 건은 2014년 카드사 정보 유출 사태 이후 최대 규모이며 유출된 정보의 민감성 측면에서는 역대 최악으로 꼽힐 것으로 보인다.
지난 4월 SK텔레콤 해킹 사건에서 피해자들은 1인당 50만~100만원을 배상하라며 집단 소송을 제기했다. 참여 인원이 20만명으로 추산된다. SK텔레콤은 가입자의 유심(USIM) 정보가 유출됐지만 주민등록번호, 이메일, 전화번호 등은 유출되지 않았다. 업계에서는 민감 개인정보가 대부분 유출된 롯데카드의 경우 피해 보상 청구액이 이를 훨씬 상회할 수 있다고 전망한다.
yunyun@newspim.com
