28만명 고객 정보 부정 사용 가능성…피해 전액 보상
조좌진 롯데카드 대표는 18일 서울 중구 부영태평빌딩에서 기자회견을 열어 이 같이 밝히고 "고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다"고 사과했다.
유출이 확인된 회원 정보는 온라인 결제 과정에서 생성·수집된 데이터로 연계 정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류 등이다.
조 대표는 "정보 유출은 온라인 결제 서버에 국한해 발생했으며 오프라인 결제와는 전혀 무관하다"며 "전체 유출 고객 중 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명"이라고 밝혔다.
이어 "유출 정보 범위는 카드번호, 유효기간, CVC(카드 인증번호) 등"이라며 "이들에게는 카드 재발급 조치가 최우선적으로 이뤄지도록 하겠다"고 말했다.
또 "나머지 269만명은 일부 항목만 제한적으로 유출됐다"며 "해당 정보만으로 카드 부정사용이 발생할 가능성은 없다"고 전했다.
피해 구제 방안으로는 전액 보상 방침을 밝혔다. 조 대표는 "2차 피해도 연관성이 확인되면 전액 보상하겠다"고 말했다.
이와 함께 롯데카드는 고객 정보가 유출된 고객 전원에게 연말까지 결제 금액과 관계 없이 무이자 10개월 할부 서비스를 무료로 제공한다.
앞서 롯데카드는 지난 1일 해킹 공격을 당해 1.7GB(기가바이트) 규모의 데이터가 유출됐다고 금융당국에 보고했다. 하지만 조사 결과 실제 유출 규모는 200GB에 이르는 것으로 드러났다. 당초 보고된 수준의 약 100배에 달하는 수준이다. 업계는 CVC까지 유출됐다면 해외 부정 사용으로 이어질 수 있다고 우려한다.
롯데카드의 최대주주는 사모펀드 MBK파트너스다. MBK파트너스가 수익 극대화에 치중하며 보안 투자를 제대로 하지 않았단 지적이 이어지고 있다. 롯데카드의 지난해 정보보호 투자액(인건비 포함)은 116억9000만원으로 집계됐다(국회 정무위원회 소속 윤한홍 국민의힘 의원실). 이는 2021년 대비 14.7% 줄어든 규모다. 올해 상반기(1∼6월) 집행액은 59억3000만 원으로 연간 기준은 지난해와 비슷한 수준에 머물 것으로 보인다.
김태림 기자 tae@hankyung.com
© 매거진한경, 무단전재 및 재배포 금지