▲조좌진 롯데카드 대표(왼쪽 다섯 번째) 등 롯데카드 관계자들이 18일 서울 중구 태평빌딩에서 해킹 사고에 대해 대고객 사과를 하고 있다. / 사진=데이터뉴스
롯데카드가 고객정보 유출에 대해 공식적으로 사과했다.
이번 사고로 정보가 유출된 회원 규모는 297만 명으로, 전체 회원(약 960만 명)의 3분의 1에 가까운 규모다. 8월 31일 밝힌 1.7기가바이트(GB)에 더해 추가적으로 200GB 분량의 데이터 반출이 추가 확인됐다. 롯데카드는 이번 침해 사고로 인한 피해에 대해 책임지고 전액 보상한다는 계획이다.
롯데카드는 18일 서울 중구 부영 태평빌딩에서 고객정보 유출에 대한 언론 브리핑을 진행했다.
조좌진 롯데카드 대표는 "최근 발생한 사이버 침해 사고로 고객 여러분께 큰 불안과 심려를 끼쳐드려 대표이사로의 무한한 책임을 느끼며 이 자리에 섰다"며 "현재까지 이번 사이버 침해사고로 인해 고객정보가 악용돼 소비자 피해로 이어진 사례는 한 건도 확인된 바 없다"고 말했다.
▲조좌진 롯데카드 대표이사가 18일 언론브리핑에서 발표하고 있다. / 사진=데이터뉴스
조 대표는 이어 "정보보호에 관련해 투자와 노력을 지속하고 있지만, 침해 사태를 막을 만큼 충분했는지에 대한 반성이 많이 남는다. 그 부분에 대한 책임은 CEO인 제가 져야 한다고 생각하고 있다"고 덧붙였다.
롯데카드는 이번 해킹사태에 따른 대대적인 인적쇄신도 예고했다.
조 대표는 "이번 사태를 단순한 해킹사건이나 보안문제로 보지 않고 경영 전반의 메커니즘을 근본부터 혁신하는 계기로 삼고자 한다"며 "우선 현재의 기능 중심적으로 구성된 조직을 고객 중심, 고객 가치 중심, 고객 보호 중심으로 대전환시키도록 할 것이며, 대표이사인 저를 포함해 대대적인 인적쇄신을 연말까지 완료하겠다"고 말했다.
회사에 따르면, 이번 고객정보 유출은 롯데카드가 운영하는 48개 웹로직 서버에 대한 보안 패치 과정에서 당시 사용량이 거의 없었던 소규모 페이 서비스가 보안패치에서 누락됐고, 지난 8월 13일 신원 미상의 공격자(해커)가 롯데카드의 온라인결제 시스템에 악성코드(웹셀)을 설치하면서 시작됐다.
롯데카드는 8월 26일 악성코드 감염을 최초로 확인하고, 8월 31일까지 전체 서버를 대상으로 악성코드 감염 여부 검사를 실시했다. 9월 1일 금융감독원에 사이버 침해 사실에 대해 신고하고, 이후 자체 조사를 통해 최종 유출 정보량 및 내용 확인을 완료했다. 최종 유출 정보량이 확인된 것은 사건 발생 후 한 달 여만이다.
이와 관련, 조 대표는 "유출된 내용을 고객별로 매칭시키는 데 상당히 오랜 시간이 걸렸다"고 설명했다.
롯데카드에 따르면, 정보가 유출된 회원은 297만 명이다. 이 중 269만 명은 ▲연계정보(CI, Connectiong Information) ▲가상결제코드 ▲주민등록번호 등이 유출됐다. 이 정보만으로는 카드 부정사용이 불가능해 카드를 재발급하지 않아도 된다는 게 회사 측 설명이다.
하지만, 나머지 28만 명은 ▲카드번호 ▲비밀번호(2자리) ▲유효기간 ▲CVC 등 고객정보가 유출돼 카드 부정사용으로 이어질 수 있다. 7월 22일부터 8월 27일 사이에 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록한 고객들이 해당된다.
조좌진 대표는 "유출된 정보가 있다고 해도 오프라인 결제의 경우 IC 및 마그네틱 실물카드 복제에 필요한 정보가 담겨있지 않아 복제 가능성이 없어 오프라인 결제에 부정 사용될 소지는 없다"며 "ATM을 통한 카드론, 현금서비스도 사용이 불가하다"고 말했다.
다만 단말기에 카드정보를 직접 입력해 결제하는 방식인 일부 키인(KEY IN) 거래는 부정사용 가능성이 있다.
최재웅 롯데카드 마케팅본부장은 "전체 가맹점 중 국내에서 키인 결제가 가능한 곳은 1.15%로, 고액결제나 다수결제 등 이상결제 발생에 대한 모니터링을 진행하고 있다"며 "현재까지 사용 사례는 없다"고 설명했다.
롯데카드는 이번 침해 사고로 발생한 피해액 전액을 보상할 방침이다. 고객 피해 제로화를 최우선 과제로 삼고 대표이사 주재로 전사적인 비상대응체계를 가동할 계획이다.
먼저 고객정보가 유출된 297만 명 고객 전원에게 18일부터 안내 메세지를 개별 발송한다.
특히 부정사용 가능성이 있는 28만 명에게는 안내전화를 병행해 최우선으로 카드 재발급 조치가 이뤄질 수 있도록 할 계획이다. 해당 고객이 재발급을 신청하면 다음주 수요일까지 새 카드를 발송할 계획이다. 재발급을 신청하면 기존 카드는 사용이 중지돼 부정방지 사용 리스크를 제로화할 수 있다.
고객정보가 유출된 고객 전원에게 연말까지 금액과 관계업시 무이자 10개월 할부 서비스를 무료로 제공하는 등 추가적인 지원방안도 마련했다. 피싱, 해킹등의 금융사기 또는 사이버 협박에 의한 손해 발생 시 보상하는 금융피해 보상 서비스인 크레딧케어도 연말까지 제공한다. 이상결제 발생에 대비하기 위해 카드사용 알림서비스도 연말까지 무료로 제공한다.
최우선 재발급 대상인 28만 명에게는 카드 재발급 시 차년도 연회비를 한도 없이 면제한다. 롯데카드는 카드 재발급으로 발생할 비용을 최소 56억 원 이상으로 추정했다.
이 밖에도 롯데카드앱 메인 화면 상단에 고객이 손쉽게 보안조치를 할 수 있도록 카드 재발급, 해외결제 차단, 비밀번호 변경 관련 메뉴를 배치하고, 원활한 앱 이용을 위해 동시 접속 인원을 60만 명까지 확대했다.
롯데카드는 향후 5년간 1100억 원의 정보보호 관련 투자를 집행해 IT 예산 대비 정보보 예산 비중을 업계 최고 수준인 15%까지 확대할 계획이다.
이를 통해 자체 보안관제 체계를 구축해 24시간 실시간 통합보안 관제체계를 강화하고, 전담 레드팀을 신설해 해커의 침입을 가정한 예방 활동을 상시화할 계획이다.
이윤혜 기자 dbspvpt@datanews.co.kr
[ⓒ데이터저널리즘의 중심 데이터뉴스 - 무단전재 & 재배포 금지]
많이 본 뉴스
Copyright © Datanews Corp. All Rights Reserved.