롯데카드 “297만 명 고객 정보 유출…피해 전액 보상”

롯데카드가 최근 발생한 대규모 고객정보 유출 사고에 대해 공식 사과하고, 피해 고객 전원에 대해 전액 보상 방침을 밝혔다.

조좌진 롯데카드 대표는 18일 서울 중구 부영태평빌딩에서 열린 긴급 브리핑에서 “사이버 침해 사고로 고객 여러분께 큰 불안과 심려를 끼쳐드려 대표이사로서 무한한 책임을 느낀다”며 “정보보호에 대한 투자가 충분했는지 깊이 반성하고 있다”고 말했다.

롯데카드는 이번 해킹 사고로 전체 회원 약 960만 명 중 297만 명의 개인정보가 유출됐다고 밝혔다. 당초 알려진 1.7GB에 더해, 추가로 200GB 분량의 데이터가 반출된 것으로 확인됐다.

유출된 고객정보 중 269만 명은 CI(연계정보), 가상결제코드, 주민등록번호 등이 포함됐으며, 카드 부정사용은 어렵다는 설명이다. 그러나 나머지 28만 명의 경우 카드번호, 유효기간, CVC 등 민감한 결제 정보가 유출돼 부정사용 우려가 있다.

이 정보는 주로 7월 22일부터 8월 27일 사이 신규로 페이 서비스에 카드 정보를 등록한 고객들이 대상이다.

회사에 따르면 해킹은 8월 13일, 웹로직 서버에 보안 패치가 누락된 소규모 페이 서비스를 통해 이뤄졌다. 해커는 롯데카드의 온라인 결제 시스템에 악성코드(웹셀)를 설치했고, 회사는 8월 26일 감염 사실을 최초 인지, 9월 1일 금융감독원에 신고했다. 최종 유출 규모 파악까지 약 한 달이 걸렸다.

조 대표는 “유출된 정보를 고객별로 정확히 매칭하는 데 시간이 많이 걸렸다”고 설명했다.

롯데카드는 피해 최소화를 위해 전사적 비상대응체계를 가동하고, 28만 명 고위험 고객에 대해 즉시 카드 재발급을 진행한다. 해당 고객에게는 연회비 전액 면제와 함께, 카드 사용 중지로 부정사용을 원천 차단할 방침이다.

또한 유출된 297만 명 고객 전원에게는 ▲무이자 10개월 할부 ▲피해보상 보험(크레딧케어) ▲카드 사용 알림 서비스 무료 제공 등의 추가 지원도 마련했다.

카드 재발급으로 인한 비용은 최소 56억 원 이상으로 추산된다.

조 대표는 “이번 사태를 단순한 해킹 사고로 보지 않겠다”며 경영 전반에 걸친 혁신과 인적 쇄신을 예고했다. 대표이사 본인을 포함한 조직 전면 개편을 연말까지 마무리하겠다는 계획이다.

또한 향후 5년간 총 1,100억 원의 보안 예산을 투입해 업계 최고 수준(IT 예산 대비 15%)으로 확대하고, ▲24시간 통합보안관제 체계 ▲전담 레드팀 신설 ▲앱 동시접속자 수 60만 명까지 확장 등 보안·IT 인프라 전면 개편에 나선다.

haileyyang14@naver.com