전체 회원의 30%…200GB 달해
28만명은 카드 보안코드도 털려
롯데카드 “피해 발생 땐 전액 보상”
28만명은 카드 보안코드도 털려
롯데카드 “피해 발생 땐 전액 보상”
조좌진 롯데카드 대표 등 관계자들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출 사태에 대해 사과하며 고개를 숙이고 있다. 연합뉴스
롯데카드 해킹 사고로 전체 회원 30%에 해당하는 297만명의 정보 200기가바이트(GB)가 유출되고, 이 가운데 28만명은 카드보안코드(CVC)까지 유출된 것으로 나타났다. 케이티(KT) 무단 소액결제 사건도 추가 피해가 확인돼 누적 피해 금액이 2억4천만원으로 늘었고, 여기에 악용된 불법 초소형 기지국은 2개가 더 파악돼 4개로 늘어났다.
조좌진 롯데카드 대표는 18일 오후 서울 중구 부영태평빌딩에서 기자회견을 열어 해킹 피해 현황을 공개했다. 지난달 14일 최초 해킹이 발생한 이후 한달여 만이다. 유출된 데이터 규모도 롯데카드가 이달 초 밝힌 1.7기가바이트보다 훨씬 컸다.
유출이 확인된 297만명 회원 정보는 온라인 결제 과정에서 생성·수집된 데이터들로, 오프라인 결제와는 무관하다. 이 가운데 28만명은 카드번호, 카드유효기간, 카드보안코드, 주민등록번호, 휴대전 화 번호까지 유출됐다. 조 대표는 “이 경우 단말기에 카드 정보를 직접 입력해 결제하는 키인(key in) 거래를 통한 부정 사용 가능성이 있다. 해당 고객들에게는 카드 재발급 조처를 진행하고 있다”고 말했다. 나머지 269만명은 일부 항목만 유출돼 부정 사용 가능성이 없다고 밝혔다.
롯데카드는 피해 발생 시 전액 보상할 방침이다. 조 대표는 “2차 피해도 연관성이 확인되면 전액 보상하겠다”고 했다. 조 대표는 “앞으로 5년간 1100억원 규모의 정보보호 관련 투자를 집행해 보안 관제 체계를 구축하겠다”고도 말했다. 다만 롯데카드는 현재까지 신용카드 부정 사용 신고 사례는 없다고 밝혔다.
금융위원회는 이날 긴급 대책회의를 열어 롯데카드에 중대 위법 사항이 드러나면 최대 수준의 제재를 가하겠다고 밝혔다. 또 금융사의 보안 사고에 징벌적 과징금을 부과하고 금융사가 보안 규정을 제대로 이행하지 않을 경우 이행강제금을 부과하는 등 제도 개선에도 착수하겠다고 밝혔다.
한편, 케이티는 무단 소액결제 사건 피해자가 278명에서 362명으로 늘어 누적 피해 금액은 2억4천만원으로 집계됐다고 이날 밝혔다. 또 케이티는 6월부터 에이알에스(ARS) 인증을 거친 소액결제를 전수조사해 기존에 확인한 불법 초소형 기지국 아이디 2개 외에 또 다른 아이디 2개를 추가로 확인했다. 케이티 관계자는 “추가 피해 정황에 대해 개인정보보호위원회에 보완 신고를 마쳤으며, 추가 피해로 확인된 고객에게 개별 안내를 진행 중”이라고 했다. 통신·금융사에서 해킹 사고가 잇따르자 이재명 대통령은 해당 부처에 종합대책을 마련하라고 지시했다.
