안일한 대응이 키운 롯데카드 해킹 사태…소비자 불안 ‘극심’

롯데카드, 금융당국 보고에서 심각성 낮게 평가
카드번호·CVC 번호 등 유출된 28만명, 부정사용 가능성 있어
개인정보 유출 피해 보상금 수십만원 수준 예상

297만명의 개인정보 유출 해킹 사고를 일으킨 롯데카드가 안일한 대응으로 사태를 키웠다. 그 결과 카드번호·CVC번호까지 노출돼 부정사용 위험에 직면한 28만명의 고객들은 불안에 떨고 있다. 하지만 사고 피해자들의 보험금은 수십만원 수준에 그칠 것으로 보인다.

21일 금융권에 따르면 롯데카드는 실제 정보 유출 규모의 100분의 1 이하인 1.7기가바이트(GB)로 신고했고 유출 내용과 관련해서도 '암호화된 정보'라며 심각성을 낮게 평가한 것으로 전해졌다. 해킹범들이 빼간 정보는 암호화된 파일이라 개인정보 유출로 보기 어렵다는 입장을 고수했다.

이후 금융감독원과 금융보안원이 실시한 포렌식 조사 등의 결과, 카드 비밀번호와 CVC 등 민감한 개인정보 일부가 암호화되지 않거나 암호가 풀린 상태로 빠져나간 것으로 드러났다. 애초 롯데카드가 1.7GB로 파악한 정보 유출규모도 금융당국 조사 결과 200GB로 늘어났다.

지난 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록한 28만명의 고객들은 카드번호, 유효기간, CVC번호 등이 유출된 것으로 확인됐다. 이들은 고객정보로 카드 부정사용 가능성이 있어 소비자들의 불안은 더욱 커지고 있다. 롯데카드는 해킹 사고 이후 보름 넘게 홈페이지에 '정보 유출은 없다'는 공지만 띄워놓는 등 피해 사실 축소에 급급한 모습을 보이기도 했다.

해킹사고로 고객들의 개인정보가 유출됐지만 보상금 규모는 수십만원 수준에 그칠 것으로 보인다. 롯데카드는 롯데손해보험에 100억원 규모의 개인정보 배상책임보험을 가입했다. 개인정보 손해배상책임 보장제도는 개인정보 유출 피해 발생 시 기업이 소비자에게 피해를 보상할 수 있도록 보험 가입이나 준비금 적립을 의무화한 것으로 2019년 도입됐다. 배상 능력이 부족한 기업도 보험을 통해 피해자 구제가 가능하다. 개인정보보호법 시행령 제48조의7에 따르면 보험 의무 가입 기준은 '매출액 10억원·정보 주체 1만명'이다.

배상책임보험은 가입자가 제3자의 재산에 손해를 입혔을 때 법률상의 배상책임을 보장한다. 사이버 종합 담보가 아니기 때문에 카드사의 서버 복구비, 보안 강화, 고객 안내·신용모니터링 비용 등 자체 손실은 보장하지 않는다.

이 경우 단순 개인정보 유출만으로는 보장받을 수 없다. 개인정보 유출로 제3자인 고객에게 금전적인 피해가 발생했을 때만 보상이 가능하다. 피해자는 자신에게 발생한 피해, 손해, 기업의 위법행위 등을 입증해야 보상받을 수 있다. 개인정보 유출로 인한 손해를 법원에서 인정하는 등의 과정도 거쳐야 한다. 손해를 입은 고객이 롯데카드에 배상을 요구하면 롯데카드는 피해 금액을 확정해 롯데손보에 보험금 지급을 청구한다. 롯데손보는 보험상품 약관에 따라 지급 여부를 판단하는 구조다.

고객의 금전적 피해 사실과 롯데카드의 책임이 명확히 입증돼야 보험금 지급 여부가 확정된다. 보험금 규모도 크지 않을 수 있다. 보험업계 관계자는 "과거 정보 유출 때도 피해 규모 확정과 이후 절차를 진행하는 데 시간이 오래 걸렸다. 피해 고객들은 개인정보 유출로 인한 금전적 피해를 입증하는 것이 중요하다"면서 "보상금 액수는 수십만원 수준일 것"이라고 내다봤다.

이번 사태로 개인정보가 유출된 고객들은 '롯데카드 개인정보 유출 집단소송 카페'를 통해 집단 소송을 준비하는 중이다. 21일 오후 2시 기준 카페 회원 수는 4300명을 넘어섰다. 피해자들은 "짜증 나고 화난다"는 반응과 함께 집단 소송 참여 의사를 밝혔다. 또 롯데카드 고객센터의 대응에 불만을 표출하고 있다. 아이디 해킹 시도 등 피해 사례 의심도 속출하는 상황이다.

최정서 기자 emotion@dt.co.kr

조좌진 롯데카드 대표이사 등 관계자들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다. [연합뉴스]