롯데카드는 해킹 사고로 297만명의 고객정보가 유출됐고 이 중 28만명은 카드번호, 유효기간, CVC번호 등도 유출돼 카드 부정사용에 악용될 수 있다고 발표했다.

조좌진 롯데카드 대표는 18일 서울 중구 부영태평빌딩에서 해킹사태 관련 기자회견을 열고 이같이 밝혔다. 본격적인 브리핑에 앞서 조좌진 대표를 포함한 롯데카드 임원진들은 이번 유출 사태에 대해 고개 숙여 사과했다.

롯데카드는 이번 해킹으로 고객정보 유출 총 회원 규모가 297만명이라고 발표했다. 롯데카드 전체 회원이 900만명인 점을 감안하면 3분의 1 가량의 고객 정보가 유출된 것이다.

유출된 정보는 지난 7월 22일부터 8월 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성, 수집된 데이터다. 구체적으로는 △CI(Connecting Information) △가상결제코드 △내부식별번호 △간편결제서비스 종류 등이다.

유출된 고객정보 중 카드 부정사용에 악용될 수 있는 고객은 총 28만명으로 확인됐다. 지난 7월 22일부터 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록한 경우가 이에 해당된다. 유출된 정보에는 온라인 신규등록 시 필요한 카드번호, 유효기간, CVC번호 등이 포함된다.

조 대표는 "유출된 정보가 있더라도 오프라인 결제의 경우 IC 및 마그네틱 실물카드 복제에 필요한 정보가 담겨있지 않아 복제의 가능성은 없다"며 "결국 오프라인 결제에 부정 사용될 소지는 없으며 ATM을 통한 카드론, 현금서비스 사용도 불가하다"고 부연했다.

이어 "온라인 결제에 있어서도 실제 결제가 일어나기 위해서는 SMS 인증, 지문 인증 등 제 2의 추가적인 본인 인증 절차가 필요하기 때문에 유출된 정보만으로는 부정 사용이 어려운 수준"이라고 덧붙였다.

부정사용 가능성이 있는 단말기에 카드정보를 직접 입력해 결제하는 방식의 키인(KEY IN) 거래도 사례는 아직까지 확인되지 않았다.

조 대표는 "나머지 269만명의 경우 일부 항목만 제한적으로 유출돼 해당 정보만으로는 카드 부정사용이 발생할 가능성이 없음을 확인했다"며 "현재까지 이번 사이버 침해사고로 인해 고객정보가 악용돼 소비자 피해로 이어진 사례는 단 한건도 확인되지 않았다"고 강조했다.

별도로 카드를 재발급할 필요는 없으나, 불안 해소를 원할 시 어플리케이션이나 홈페이지를 통해 신청하면 된다는 설명이다.

앞서 지난달 26일 롯데카드 온라인 결제 서버에서는 외부 해커의 침해 흔적이 발견됐다. 회사는 즉시 전체 서버에 대한 정밀조사를 진행했으며, 그 결과 3개 서버에서 2종의 악성코드와 5종의 웹쉘을 발견해 삭제 조치했다.

지난달 31일 낮 12시 경에는 온라인 결제 서버에서 외부 공격자가 1.7기가바이트(GB) 분량의 데이터 반출을 시도한 흔적을 발견했다. 이후 지난 1일 오전 10시경 금융당국에 침해사고 사실을 보고했다. 

이달 2일에는 금융감독원과 금융보안원이 현장 검사를 진행한 결과 200GB 분량의 데이터가 추가 반출된 정황을 발견했다. 롯데카드와 관계기관이 정밀 분석을 진행해 전날 특정 고객의 일부 고객정보가 유출된 사실을 최종적으로 확인했다.

이날 조 대표는 유사 사고 재발 방지도 약속했다. 정보가 유출된 297만 고객 전원에게는 오늘부터 안내 메시지가 발송된다. 특히 부정사용 가능성이 있는 28만명에게는 재발급 안내 문자를 추가 발송하고 안내 전화도 병행하겠다는 방침이다.

아울러 이상거래탐지시스템인 FDS 모니터링을 한층 더 격상할 예정이다. 조 대표는 "해외 온라인 결제 시 기존 결제 이력이 없는 가맹점에서의 결제 건은 전화 본인 확인 후에만 승인하고 있다"며 "국내 결제 또한 강화된 사전 사후 모니터링을 시행해 부정 결제 가능성에 대비 중"이라고 설명했다.

이외에도 고객이 손쉽게 보안조치를 할 수 있도록 롯데카드 앱 메인 화면 상단에 카드 재발급, 해외결제 차단, 비밀번호 변경 관련 메뉴를 배치했다. 원활한 앱 이용을 위해 동시 접속 인원도 60만명까지 확대 운영 중이다. 침해사고 전용 24시간 상담센터의 인력도 확충했다,

온라인 결제 시스템의 서버, 운영체제, 소프트웨어 환경을 전면 교체해 보안 수준을 한층 강화했다. 주요 시스템 계정 접속 및 인증 체계 강화, 네트워크 보안 및 데이터 암호화 관리 역시 3개월 내 고도화를 완료할 계획이다.

정보가 유출된 고객 전원에게는 연말까지 금액과 관계없이 무이자 10개월 할부 서비스가 무료 제공된다. 이와 함께 피싱 해킹 등의 금융사기 또는 사이버 협박에 의한 손해 발생 시 보상하는 금융피해 보상 서비스 '크레딧케어'도 연말까지 무료로 이용 가능하다. 카드사용 알림서비스도 무료 제공된다.

최우선 재발급 대상이 되는 고객 28만명은 카드 재발급 시 차년도 연회비를 한도 없이 면제하기로 했다.

회사 내부적으로는 향후 5년간 1100억원의 정보보호 관련 투자를 집행해 IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대한다. 이를 통해 자체 보안관제 체계를 구축해 24시간 실시간 통합보안 관제체계를 강화하고, 전담 레드팀을 신설해 해커의 침입을 가정한 예방 활동을 상시화할 계획이다.

조좌진 대표는 "깊은 책무감을 느끼고 반성하고 있다"며 "이번 사태를 단순한 해킹사건이나 보안문제로 보지 않고 경영 전반의 메커니즘을 근본부터 혁신하는 계기로 삼겠다"고 말했다.

우선 대표이사를 포함한 대대적인 인적쇄신을 연말까지 완료하겠다는 방침이다. 

조 대표는 "현재의 기능 중심적으로 구성된 조직을 고객 중심, 고객가치 중심, 고객보호 중심으로 대전환 시키도록 할 것"이라며 "사임을 포함해, 충분히 시정해서 납득할 만한 수준의 인적 쇄신을 약속하겠다"고 강조했다.