롯데카드 "해킹피해 297만명...28만명 부정 사용 가능성"
회원 960만 명을 보유, 가입자 수 업계 5위인 롯데카드의 해킹 피해 규모가 297만 명에 달하는 것으로 나타났다. 전체 회원의 3분의 1 수준으로, 이 중 28만 명은 부정 사용 가능성이 있는 것으로 파악됐다. 18일 조좌진 롯데카드 대표는 대국민 사과문을 발표하며 "해킹 사고로 고객 297만명의 정보가 유출됐다"면서 "피해액 전액을 보상하겠다"고 밝혔다. 앞서 지난 8월 롯데카드의 온라인 결제 서버(WAS 서버)가 해킹을 당했고, 회사는 유출 규모가 약 1.7GB로 보고했지만, 조사 결과 200GB 규모로 추산됐다. 이는 SK텔레콤 해킹 사고때 유출된 데이터(9.82GB)보다 20배가 많은 양이다. 해킹은 2017년 롯데카드가 48개 서버의 보안을 강화하는 과정에서 업그레이드(패치)를 누락한 1개 서버를 통해 발생했다. 이날 조 대표는 금융감독원과 금융보안원의 현장조사 결과 200기가바이트(GB) 분량의 데이터가 반출된 정황이 발견됐다면서 "정보가 유출된 총회원 규모는 297만명이며, 온라인 결제 서버에 국한해서 발생했다"고 덧붙였다. 유출된 정보는 7월 22일과 8월 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터로, 개인별로 유출된 정보 항목에는 차이가 있다고 설명했다. 이어 그는 "전체 유출 고객 중 카드 부정 사용으로 이어질 가능성이 있는 고객은 총 28만명으로 확인됐다"면서 "7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록한 고객들이 해당한다"고 말했다. 고객의 유출정보 범위는 온라인 신규등록 시 필요한 카드번호, 유효기간, CVC(Card Verification Code, 카드 뒷면 숫자 3자리)번호 등이다. 특히 CVC가 유출된 건 2014년 KB국민, NH농협, 롯데카드 해킹 사건 이후 11년만이다. 조 대표는 유출된 정보가 있다고 하더라도 오프라인 결제의 경우 복제 가능성은 없다고 선을 그었다. "오프라인 결제에 부정 사용될 소지는 없다"면서 "ATM을 통한 카드론, 현금서비스도 사용이 불가하다"고 밝혔다. 또 "온라인 결제에서도 실제 결제가 일어나기 위해서는 SMS 인증, 지문 인증 등 제2의 추가적인 본인 인증 절차가 필요하기 때문에 유출된 정보만으로는 부정사용이 어렵다"고 말했다. 현재까지 부정사용 사례도 확인되지 않았다면서 "나머지 269만명의 경우에는 일부 항목만 제한적으로 유출돼 카드 재발급을 별도로 할 필요는 없다"고 밝혔다. 조 대표는 "이번 침해 사고로 인해 발생한 피해에 대해서는 그 어떠한 손실도 고객에게 전가하지 않겠다. 롯데카드가 책임지고 피해액 전액을 보상하겠다"면서 "고객정보가 유출된 297만 고객 전원에게 오늘부터 개별적으로 고객정보 유출 안내 메시지를 보내고, 부정 사용 가능성이 있는 고객 28만명은 '카드 재발급' 조치가 최우선적으로 이루어지도록 하겠다"고 말했다. 카드와 비밀번호 모두 교체가 필요한 28만명의 경우 카드번호를 비롯해 CVC, 비밀번호, 유효기간, 주민번호, 전화번호가 모두 유출됐고, 47만명은 암호화 카드번호, 주민번호, 온라인 결제정보가, 222만명은 암호화 카드번호와 온라인 결제정보가 각각 유출됐다. 현행 여신전문금융업법 시행령에 따르면 카드사가 개인정보 유출 등으로 소비자 보호에 미흡한 경우 최대 6개월 영업정지를 명할 수 있다. 이 기간엔 신규 회원을 모집할 수 없다. 롯데카드는 2014년에도 고객정보 유출로 3개월 영업정지를 받은 바 있다. 이재명 대통령은 이날 수석보좌관회의에서 롯데카드 해킹 사건을 언급하며 "기업에 책임을 묻는 것도 필요하지만 해킹 범죄에 맞서 범정부 차원에서 체계적인 보안대책을 서둘러 마련해야 한다"고 밝혔다. 앞서 이 대통령은 보안 사고가 반복되는 기업에 징벌적 과징금을 부과하라고 말한 바 있다. 당국은 디지털금융보안법으로 과징금 제재 기준을 마련할 전망이다. 정부는 올해 초 디지털금융법 초안을 통해 금융 거래 정보가 누설되거나 보안 사고가 발생하면 금융사 전체 매출의 3%, 최대 200억 한도에서 징벌적 과징금을 부과한다는 방침을 비쳤다. 이와는 별개로 더불어민주당 의원은 최근 개인정보보호법 개정안을 발의하면서 징벌적 과징금 상한선을 전체 매출의 10%로 높이는 방안을 담았다. 이번 사고로 사이버보안 컨트롤타워 문제가 다시 불거졌다. 현재는 금융사와 비금융사의 관리 체제가 2원화돼 있다. 금융사의 해킹, 정보 유출은 금융위가 맡고 금융권 이외 민간서 발생한 보안 사고는 과기정통부가 담당하고 있다. 해킹 피해가 금융권과 비금융권을 가리지 않고 터지고 있는데 감독권한은 나눠져 있는 것이다. 보안 인증 유효성도 다시 거론됐다. 롯데카드가 7월 정보보호관리체계(ISMS) 인증을 받고 한달 후에 해킹 사고가 터졌기 때문이다. ISMS(Information Security Management system) 인증은 기업이나 기관이 정보자산을 안전하게 보호하기 위해 수립·운영·관리하는 종합적인 체계가 국제 기준에 맞게 제대로 갖추어져 있는지 한국인터넷진흥원(KISA) 또는 인증기관이 심사해 부여하는 인증 제도다.
