롯데카드 해킹…297만명 정보유출·17일간 몰랐다

960만여명의 회원을 보유한 롯데카드에서 사이버 침해(해킹) 사고가 발생해 297만명의 고객 정보가 유출된 것으로 확인됐다. 롯데카드가 해킹 피해 사실을 인지하는 데만 17일이 걸린 데다, 유출 규모도 최초 발표한 1.7기가바이트(GB)에서 200GB로 늘어나 고객들의 불안이 커지고 있다.

조좌진 대표는 18일 오후 1시 30분, 서울 중구 부영태평빌딩 1층 컨벤션홀에서 기자회견을 열고 “정보가 유출된 회원 규모는 297만명으로, 7월 22일부터 지난달 27일 사이 온라인 결제 과정에서 생성된 데이터가 유출됐다”고 밝혔다.

이어 “고객 전체 성명이 유출된 것은 아니지만, 유출된 고객 정보로 카드 부정 사용으로 이어질 가능성 있는 고객은 28만명”이며 “유출 정보 범위는 온라인 신규 등록 시 필요한 카드번호, 유효기간, CVC번호 등”이라고 덧붙였다.

28만명 고객의 경우 단말기에 카드 정보를 직접 입력해 결제하는 방식인 키인(KEY IN) 거래의 부정 사용될 가능성이 있다. 나머지 269만명은 일부 항목만 제한적으로 유출돼 해당 정보만으로는 카드 부정 사용 위험이 낮다는 설명이다.

그럼에도 불안을 해소하고 싶은 고객은 비밀번호 변경, 해외 거래 차단, 카드 재발급 등을 신청하면 신속하게 대응하겠단 계획이다.

조 대표는 “고객 정보가 유출된 297만명 고객 전원에 대해선 오늘부터 고객 유출 안내 메시지를 보내고, 부정 사용 가능성이 있는 28만명에 대해선 재발급 안내 문자와 안내 전화를 할 것”이라고 약속했다.

또한 “유출 고객 전원에겐 연말까지 무이자 10개월 할부 서비스와 금융피해보상 서비스인 크레딧 케어 서비스, 카드사용알림 서비스 등을 무료로 제공할 것”이며 “카드 재발급 대상인 28만명에겐 차년도 연회비를 한도 없이 면제 할 것”이라고 말했다.

조 대표는 이번 사태와 관련해 깊은 책임감을 표하며 “경영 전반의 메카니즘을 혁신하는 계기로 삼겠다”며 “대표이사인 저를 포함해 연말까지 대대적인 인적 쇄신을 완료하겠다”며 사퇴 가능성을 시사했다.

◆ 지난달 12일 최초 침입...17일 만에 파일 유출 인지

해커가 최초로 파일을 유출 시점은 14일이다. 이튿날인 15일에도 유출했지만, 롯데카드는 17일 뒤인 31일에야 데이터 반출을 인지했다.

당시 롯데카드는 유출 규모가 1.7GB라고 발표했으나, 2일부터 시작된 금융감독원과 금융정보원 검사 결과 200GB에 달하는 데이터가 빠져나간 것으로 드러났다. 이는 전체 고객의 3분의 1에 해당한다.

특히 최초에 발표한 1.7GB 데이터는 해커가 파일 유출 후 서버 내 파일을 삭제해 유출내용 특정이 불가한 상황이다.

조 대표는 “해커가 압축 파일을 유출한 뒤 서버에서 삭제해 당사가 포렌식을 했음에도 찾아내지 못했지만, 200GB에 해당하는 내용에 이 부분이 포함돼 있다”고 설명했다.

아울러 17일이 지난 시점에야 발견한 이유는 해커의 수법이 교묘했다고 설명했다.

최용혁 롯데카드 정보보호실장은 “해커가 일반적 침해 행위와 좀 다른 여러 수법들을 활용했다”며 “사용이 거의 없는 서버에 침입해 인지가 늦었고, 대용량으로 한 번에 가져간 것도 아니라 상시 모니터링에 노출되지 않았다”고 말했다.

파이낸셜투데이 박혜진 기자