[현장] 롯데카드 “297만 명 개인정보 유출...피해액 전액 보상”...조좌진 대표 공식사과 내용 들어보니
[컨슈머와이드-전휴성 기자] 해킹 사고 초기 개인정보 유출이 되지 않았다고 밝혀온 롯데카드가 18일 대국민 사과 기자회견을 열었다. 해킹 사고 이후 금융감독원(금감원)과 금융보안원의 현장 조사 결과 297만 명의 고객 정보가 유출된 것으로 확인됐다. 유출 정보 범위는 카드번호, 유효기간, CVC 등이다. 롯데카드는 이날 기자회견을 통해 카드 복제 가능성이 없고, ATM 을 통한 카드론, 현금서비스 등 부정 사용 여지가 없다고 선을 그었다.
이날 조좌진 대표는 “최근 발생한 저희 회사의 사이버 침해 사고로 고객분들의 염려와 불편을 최소화하고, 고객 피해를 ZERO(제로)화하기 위해 이자리에 섰다”면서 “롯데카드를 아껴 주시는 고객 여러분, 그리고 유관 기관 여러분께 심려를 끼쳐드려 진심으로 죄송하다”고 고개를 숙였다.
조 대표는 이날 공식사과 후 사고 경과, 고객정보 유출 내역, 고객 보호조치 등에 대해 투명하게 공개했다.
지난달 26일 온라인 결제 서버에서 외부 해커의 침해 흔적이 발견됐다. 롯데카드는 즉시 전체 서버에 대한 정밀조사를 진행했다. 점검 결과 3개 서버에서 2종의 악성코드와 5종의 웹쉘을 발견해 즉시 삭제 조치했다. 다른 데이터베이스로의 전이나 추가적인 악성코드 감염은 자체 검사결과 없었다. 그런데 31일 정오 온라인 결제 서버에서 외부 공격자가 1.7기가바이트(GB) 분량의 데이터 반출을 시도했던 흔적이 발견됐다. 유출된 사항에 대한 정밀 조사 결과 고객정보 유출은 확인되지 않았다. 이에 따라 롯데카드는 다음날인 9월 1일 오전 10시경 금융당국에 침해사고 사실을 신속히 보고했다. 2일부터 금감원과 금융보안원의 현장 검사가 진행됐다. 조사 과정에서 200기가바이트(GB) 분량의 데이터가 추가적으로 반출된 정황이 발견됐다. 이후 관계 기관과 정밀분석을 진행한 결과 지난 17일 297만 명의 개인정보가 유출된 사실이 최종 확인됐다.
조 대표는 “보안 관리에 있어 중대한 미흡과 부족함이 있었다는 것은 어떠한 이유로도 용서될 수 없는 일”이라면서 “이로 인해 고객분들이 느끼신 불편과 심려에 다시 한번 깊이 사과드린다”고 고개를 숙였다.
그러면서 “이번 해킹 사고로 유출된 고객 정보 규모는 총 297만 명”이라면서 ‘정보유출은 온라인 결제 서버에 국한해서 발생했다. 오프라인 결제와는 전혀 무관하다“고 밝혔다.
이번 해깅으로 고객 정보가 유출된 회원 규모는 총 297만 명이다. 유출된 정보는 7월 22일과 8월 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터로, ▲CI(Connecting Information), ▲가상결제코드, ▲내부식별번호, ▲간편결제 서비스 종류 등으로 개인별로 유출된 정보 항목에는 차이가 있는 것으로 확인됐다.
전체 유출 고객 중, 유출된 고객정보로 카드 부정 사용으로 이어질 가능성이 있는 고객은 총 28만 명으로 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록 경우다. 유출정보의 범위는 온라인 신규등록 시 필요한 카드번호, 유효기간, CVC번호 등이다.
조 대표는 “유출된 정보가 있다고 하더라도 오프라인 결제의 경우, IC 및 마그네틱 실물카드 복제에 필요한 정보가 담겨있지 않아 복제의 가능성은 없다”면서 ”오프라인 결제에 부정 사용될 소지는 없다. ATM을 통한 카드론, 현금서비스도 사용이 불가하다“고 자신했다.
그러면서 “온라인 결제에 있어서도, 실제 결제가 일어나기 위해서는 SMS 인증, 지문 인증 등 제 2의 추가적인 본인 인증 절차가 필요하기 때문에 유출된 정보만으로는 부정사용이 어려운 수준”이라면서 “하지만, 유일하게 단말기에 카드정보를 직접 입력해 결제하는 방식인 일부 키인(KEY IN) 거래의 경우에는 부정사용 가능성이 존재하나, 현재까지 부정사용 사례는 확인되지 않았다”고 설명했다.
이어 “나머지 269만 명의 경우에는 일부 항목만 제한적으로 유출되어, 해당 정보만으로는 카드 부정사용이 발생할 가능성이 없음을 확인했다. 때문에, 카드 재발급을 별도로 할 필요가 없다”면서 “그럼에도 불구하고 불안을 해소하고 싶으신 분은 롯데카드앱이나 홈페이지를 통해 비밀번호 변경, 해외 거래 차단, 카드 재발급 등을 신청하시면 된다”고 부연했다.
아울러 “일반 고객 여러분의 정보는 일절 유출되지 않았다. 따라서 불필요한 불안은 갖지 않으셔도 된다”면서 “현재까지 이번 사이버 침해사고로 인해 고객정보가 악용되어 소비자 피해로 이어진 사례는 단 한 건도 확인된 바 없다”고 강조했다.
조 대표는 이번 침해 사고로 인해 발생한 피해에 대해서는 그 어떠한 손실도 고객에게 전가하지 않겠다고 대표이사로써 약속했다. 롯데카드가 책임지고 피해액 전액을 보상하겠다는 것이다.
롯데카드는 18일부터 대표이사 주재로 전사적 비상대응체계를 가동한다. 우선 고객 정보가 유출된 297만 고객 전원에게 18일부터 개별적으로 고객정보 유출 안내 메시지를 보낸다. 특히, 부정 사용 가능성이 있는 고객 28만 명에게는 재발급 안내 문자도 추가로 발송하는 한편 안내전화도 병행해 ‘카드 재발급’ 조치가 최우선적으로 이루어지도록 나선다. 또한, 이상거래탐지시스템인 FDS 모니터링을 한층 더 격상한다. 해외 온라인 결제 시 기존 결제 이력이 없는 가맹점에서의 결제 건은 전화 본인 확인 후에만 승인하고 있다. 국내 결제 또한 강화된 사전 사후 모니터링을 시행해 부정 결제 가능성에 대비하고 있다. 롯데카드앱 메인 화면 상단에 고객이 손쉽게 보안조치를 할 수 있도록 카드 재발급, 해외결제 차단, 비밀번호 변경 관련 메뉴를 배치했다. 원활한 앱 이용을 위한 동시 접속 인원도 60만 명까지 확대했다. 침해사고 전용 24시간 상담센터의 인력을 확충해 고객이 보다 신속하게 상담을 받을 수 있도록 했다.
롯데카드는 고객 정보 유출 피해 고객에 대한 보상안도 발표했다. 고객정보가 유출된 고객 전원에게는 연말까지 금액과 관계없이 무이자 10개월 할부 서비스를 무료로 제공한다. 또한, 피싱, 해킹 등의 금융사기 또는 사이버 협박에 의한 손해 발생 시 보상해 주는 금융피해 보상 서비스인 크레딧케어도 연말까지 무료로 제공한다. 카드사용 알림서비스도 연말까지 무료로 제공한다. 이와 함께 최우선 재발급 대상이 되는 고객 28만 명에게는 카드 재발급 시 차년도 연회비를 한도 없이 면제해 준다.
조 대표는 이번 사태를 단순한 해킹사건이나 보안문제로 보지 않고, 경영 전반의 메커니즘을 근본부터 혁신하는 계기로 삼겠다는 뜻을 분명히 했다.
이에 따라 롯데카드는 현재의 기능 중심적으로 구성된 조직을 고객 중심, 고객가치 중심, 고객보호 중심으로 대전환하는 한편, 대대적인 인적 쇄신을 연말까지 완료할 계획이다. 또한, 향후 5년간 1천100억 원의 정보보호 관련 투자를 집행한다. 이를 통해 IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대한다. 현재의 전사 IT 시스템 인프라를 정보보호 중심으로 전면적으로 개편한다.
조 대표는 “앞으로 고객 피해를 제로화하고, 고객분들의 불편을 최소화하는 임무가 제가 롯데카드 대표이사로서의 마지막 책무라는 결연한 마음가짐으로 최선을 다할 것을 약속드린다”면서 “다시 한번 이번 일로 심려를 끼쳐드리게 된 점, 진심으로 머리 숙여 깊은 사과의 말씀을 드린다”고 제차 사과했다.
조 대표의 공식 사과 기자회견을 정리하면 이번 해킹 사고로 297만 명의 개인정보가 유출됐고, 이중 28만 명이 유출된 고객정보로 카드 부정 사용에 노출됐다. 실물 카드 복제가 가능성이 없고, 오프라인 결제에 부정 사용될 소지도 없다. 온라인 결제에서도 유출된 정보만으로는 부정 사용이 어렵다. 그러한 만에 하나 상황을 고려해 롯데카드가 개인정보 유출된 고객에게 안내 문자를 보내고, 특히 28만 명에게는 카드 교체 문자를 추가로 보낸다. 따라서 이 문자를 받지 않은 롯데카드 고객들은 해킹에 따른 피해 우려를 하지 않아도 된다. 그래도 우려가 사라지지 않는다면 롯데카드를 재발급 받으면 된다. 어떤 것이 합리적 카드 가치소비인지 꼼꼼히 따져볼 필요가 있다.