본문내용 바로가기
구독신청 기사제보 입찰정보 판매도서
대한경제 i 신문초판
롯데카드, 고객정보 297만명 유출…28만명 부정거래 노출
페이스북 트위터 네이버
기사입력 2025-09-18 14:22:16   폰트크기 변경      
조좌진 대표 “대표직 내려놓을 결심…정보보호 예산 5년간 1100억원 투입”

조좌진 롯데카드 대표가 18일 고객정보 해킹과 관련해 브리핑 하고 있다./사진:이종호 기자 

[대한경제=이종호 기자]롯데카드 해킹으로 유출된 고객 개인정보가 297만명 수준인 것으로 나타났다. 이중 부정거래에 노출된 고객은 28만명에 달했다. 롯데카드는 정보 유출로 인한 피해는 물론 2차 피해까지 모두 배상하기로 했다. 아울러 향후 5년간 1100억원의 정보보호 관련 투자를 집행하기로 했다.

조좌진 롯데카드 대표는 18일 오후 서울 부영태평빌딩에서 열린 브리핑에서 “대표이사로서 무한한 책임을 느낀다”며 “이번 침해사고의 대응 과정을 투명하게 공개하고 고객 피해를 제로화 하겠다”고 밝혔다.

이번 사고는 지난 8월12일 해커가 최초로 롯데카드 서버에 침입하면서 시작됐다. 해커는 14일과 15일 롯데카드 서버에서 파일을 유출했으며 롯데카드는 열흘이 지난 26일 온라인 결제 서버에서 외부 해커의 침해 흔적을 처음 발견했다.


이후 31일 낮 12시경, 온라인 결제 서버에서 외부 공격자가 1.7기가바이트(GB) 분량의 데이터 반출을 시도했던 흔적을 발견했고 다음날인 9월1일 오전 10시경, 금융당국에 침해사고 사실을 신속히 보고했다.

이후 금융감독원과 금융보안원이 9월2일부터 현장 검사를 시행한 결과 조사 과정에서 200기가바이트(GB) 분량의 데이터가 추가로 반출된 정황이 발견됐다. 이후 관계 기관과 정밀분석을 진행했으며 9월17일, 특정 고객의 일부 고객정보가 유출된 사실을 최종적으로 확인했다.

롯데카드에 따르면 이번 해킹으로 정보가 유출된 총 회원 규모는 297만명이다. 유출된 정보는 7월22일과 8월27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터로,

△CI(Connecting Information), △가상결제코드, △내부식별번호, △간편결제 서비스 종류 등이다.

전체 유출 고객 중, 유출된 고객정보로 카드 부정사용으로 이어질 가능성이 있는 고객은 총 28만명으로 확인됐다. 해당 고객들은 7월22일과 8월27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록한 경우다. 유출정보의 범위는 온라인 신규등록 시 필요한 카드번호, 유효기간, CVC번호 등이다.

롯데카드는 유출된 정보가 있다고 하더라도 오프라인 결제의 경우, IC 및 마그네틱 실물카드 복제에 필요한 정보가 담겨있지 않아 복제의 가능성은 없으며, 결국 오프라인 결제에 부정 사용될 소지는 없다고 설명했다.


또한, ATM을 통한 카드론, 현금서비스도 사용이 불가하다고 설명했다. 또한, 온라인 결제에서도, 실제 결제가 일어나려면 SMS 인증, 지문 인증 등 제2의 추가적인 본인 인증 절차가 필요하기 때문에 유출된 정보만으로는 부정사용이 어렵다고 덧붙였다.

다만, 단말기에 카드정보를 직접 입력해 결제하는 방식인 일부 키인(KEY IN) 거래의 경우에는 부정사용 가능성이 존재해 소비자 주의가 필요하다. 롯데카드는 현재까지 해당 케이스로 부정 사용된 사례는 없다고 설명했다.


28만명을 제외한 269만명은 일부 항목만 제한적으로 유출되어, 해당 정보만으로는 카드 부정사용이 발생할 가능성이 없어 카드 재발급을 별도로 하지 않아도 된다.

롯데카드는 해킹사고 재발 방지를 위해 이상거래탐지시스템인 FDS 모니터링을 한층 더 격상해서 시행한다. 해외 온라인 결제 시 기존 결제 이력이 없는 가맹점에서의 결제 건은 전화 본인 확인 후에만 승인하고 있으며, 국내 결제 또한 강화된 사전 사후 모니터링을 시행해 부정 결제 가능성에 대비하고 있다.

아울러 온라인 결제 시스템의 서버, 운영체제, 소프트웨어 환경을 전면 교체해 보안 수준을 한층 강화하고, 주요 시스템 계정 접속 및 인증 체계 강화, 네트워크 보안 및 데이터 암호화 관리도 3개월 내 고도화 완료할 계획이다.

장기적으로는 향후 5년간 1100억원의 정보보호 관련 투자를 집행함으로써 IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대할 계획이다.


이를 통해 자체 보안관제 체계를 구축해 24시간 실시간 통합보안 관제체계를 강화하고, 전담 레드팀을 신설해 해커의 침입을 가정한 예방 활동을 상시화할 계획이다. 또한, 현재의 전사 IT 시스템 인프라를 정보보호 중심으로 전면적으로 개편한다.


조 대표는 “이번 침해 사고로 인해 발생한 피해에 대해서는 그 어떠한 손실도 고객에게 전가하지 않겠다”며 “롯데카드가 책임지고 피해액 전액을 보상할 것을 대표이사로서 약속드린다”고 말했다.


이종호 기자 2press@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉

프로필 이미지
금융부
이종호 기자
2press@dnews.co.kr
이종호 기자의 다른기사 보기
▶ 구글 플레이스토어에서 '대한경제i' 앱을 다운받으시면
     - 종이신문을 스마트폰과 PC로보실 수 있습니다.
     - 명품 컨텐츠가 '내손안에' 대한경제i
법률라운지
사회
제호 : 대한경제 / 인터넷신문등록번호 : 서울 아53255 / 등록일자 : 2020년 08월 25일 / 발행인 : 유일동 / 편집인 : 유일동 / 청소년 보호책임자: 장세갑
발행소 : 서울시 강남구 언주로 711 건설회관 12층 / 발행일자 : 1964년 3월 2일 / 대표번호 02-515-7321
대한경제신문의 모든 콘텐츠(기사)는 저작권법의 보호를 받는 바, 무단전재, 복사, 배포 등을 금합니다.
Copyright(c) 대한경제 All rights reserved.
로딩바