롯데카드 297만명 해킹당해… 28만명은 비번까지 털렸다

카드측 “피해액 전액 보상”

18일 오후 서울 종로구 부영태평빌딩에서 열린 롯데카드 해킹 사고 관련 대국민사과 기자회견에서 조좌진 롯데카드 대표 등 임원진이 사과 인사를 하고 있다./박성원 기자

롯데카드에서 해킹으로 개인정보 유출 피해를 본 고객 수가 297만명에 이르는 것으로 확인됐다. 이 중 카드 번호, 유효 기간, CVC 번호(카드 뒷면 3자리 숫자), 비밀번호 등 부정 결제에 이용될 수 있는 정보까지 유출된 고객이 28만명이었다. 해외 온라인 가맹점은 본인 인증을 거치지 않고도 이런 카드 정보와 비밀번호 앞 두 자리를 입력해 결제가 가능하다.

18일 롯데카드 조좌진 대표는 대(對)고객 사과를 위한 기자회견에서 이런 내용을 밝히며, “이번 사고로 발생한 피해는 롯데카드가 책임지고 전액 보상하겠다”고 했다. 롯데카드가 고객 정보 유출 피해를 인지한 지난달 31일 이후 18일 만이다. 롯데카드 대주주는 사모펀드 운용사 MBK파트너스이다.

당초 롯데카드는 지난달 31일 외부에서 누군가 1.7GB 분량의 데이터 반출을 시도한 흔적을 발견하고 자체 조사 후 “주요 정보의 외부 유출은 확인되지 않았다”고 밝혔다. 그러나 이후 금융 당국 현장 검사에서 200GB의 정보가 유출됐고, 피해 고객도 300만명에 육박한다는 사실이 확인됐다.

그래픽=조선디자인랩 이민경

결제 주요 정보가 유출된 28만명은 올해 7월 22일~8월 27일 새로운 페이결제 서비스나 전자상거래 사이트에 카드 정보를 신규로 등록한 고객들이다. 롯데카드는 이 카드들은 오프라인 결제에서 부정 사용될 소지는 없으며, 현재까지 부정 사용 신고 내역도 없다고 했다.

그러나 단말기에 카드를 꽂거나 긁는 방식이 아닌, 정보를 입력해 결제하는 키인(key-in) 거래에서 부정 사용에 악용될 가능성이 있다고 보고 고객에게 카드 재발급과 사용 정지, 회원 탈퇴를 안내하고 있다. 롯데카드는 이들이 카드를 재발급받으면 다음 해 연회비를 한도 없이 면제하겠다고 했다.

주요 결제 정보가 유출되지 않은 나머지 고객은 온라인 결제 때 생성·수집된 주민등록번호, 가상 결제 코드, 간편 결제 서비스 종류 등이 유출됐다. 롯데카드는 유출 고객 모두에게 연말까지 금액과 관계없이 무이자 10개월 할부 서비스, 금융 피해 보상 서비스, 카드 사용 알림 서비스 등을 무료로 제공하겠다고 했다.

이날 금융위원회는 롯데카드 정보 유출 관련 긴급 회의를 열고 “일벌백계 원칙 아래 엄정히 제재하겠다”며 “중대한 보안사고 발생시 일반적 과징금 수준을 뛰어넘는 징벌적 과징금을 도입하겠다”고 했다.