롯데카드, 개인정보 유출 300만명 육박…금융당국, 전 카드사 보안점검 실시

조좌진 롯데카드 대표이사(왼쪽 3번째)가 지난 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다. [사진=연합뉴스]

【 청년일보 】 최근 롯데카드에서 발생한 해킹 사고 검사 윤곽이 드러나면서 고객 정보 유출에 대한 우려를 키우고 있다. 정보가 유출된 고객 피해 규모가 297만명에 이르는 가운데 조좌진 롯데카드 대표는 지난 18일 공식 대국민사과를 통해 사고 정황 및 고객 보호 조치를 발표했다.

이를 계기로 금융당국은 전체 카드사를 대상으로 보안 점검에 나설 것으로 알려져 카드사들도 준비에 만전을 기하는 모습이다.

22일 여신업계에 따르면 조좌진 롯데카드 대표는 지난 18일 최근 발생한 해킹사고에 대해 대국민사과 언론 브리핑을 열고 해킹 사고의 경과 및 고객정보 유출 내역, 고객 보호조치를 발표했다.

이에 따르면 롯데카드는 지난달 26일 온라인 결제 서버에서 외부 해커의 침해 흔적을 발견했다. 이에 전체 서버에 대한 정밀조사를 진행했고 악성코드 및 웹셀을 삭제했다.

이어 지난달 31일에는 온라인 결제 서버에서 외부 공격자가 1.7GB의 데이터 반출을 시도한 흔적을 발견했고 이달 1일 금융당국에 관련 사실을 보고했다.

금융감독원은 금융보안원과 함께 이달 2일부터 현장 검사를 실시했고 그 결과 200GB의 데이터가 추가적으로 반출된 정황이 드러났다. 이와 함께 지난 17일에는 특정 고객의 일부 정보가 유출된 사실까지 확인됐다.

정보가 유출된 롯데카드 고객 규모는 297만명이다. 다만, 정보유출은 온라인 결제 서버 한정으로 오프라인 결제와는 무관하다. 유출된 정보는 지난 7월 22일에서 지난달 27일 사이 해당 서버를 통한 온라인 결제 과정에서 생성 수집됐다. CI(Connecting Information) 및 가상결제코드, 내부식별번호, 간편결제 서비스 종류 등이 포함됐으며 유출 정보는 개인별로 차이가 있다.

정보가 유출된 롯데카드 고객 중 28만명에 대해선 카드 부정사용 가능성이 있는 상태다. 지난 7월 22일에서 지난달 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드를 신규로 등록한 경우가 이에 해당한다. 유출정보의 범위는 카드번호 및 유효기간, CVC번호 등이다.

다만 롯데카드 측은 “유출된 정보가 있다고 해도 오프라인 결제는 IC 및 마그네틱 실물카드 복제에 필요한 정보가 담겨있지 않아 복제 가능성은 없어 오프라인 결제에 부정 사용될 소지는 없다”고 밝혔다.

아울러 “ATM을 통한 카드론, 현금서비스도 사용이 불가하며 온라인 결제에서도 SMS 및 지문 인증 등 추가적인 본인 인증 절차가 필요한 만큼 유출된 정보만으로 부정사용은 어렵다”며 “유일하게 단말기에 카드정보를 직접 입력해 결제하는 방식인 일부 키인(KEY IN) 거래의 경우는 부정사용 가능성이 있으나 현재까지 실제 포착된 바는 없다”고 덧붙였다.

롯데카드는 고객 보호 조치로서 ‘고객 피해 제로화’를 최우선으로 삼아 대표이사 주재로 전사적 비상대응체계를 가동한다고 밝혔다. 또 피해액에 대해선 전액을 보상할 방침이다.

정보가 유출된 고객에게는 안내 메시지를 보내는 한편 부정사용 가능성이 있는 고객을 대상으로 카드 재발급 조치가 이뤄지도록 하겠다는 설명이다.

이 외 롯데카드는 보안 시스템을 강화할 것이라고 밝혔다. 이상거래탐지시스템인 FDS 모니터링을 격상하는 한편 정보보호 예산 비중을 확대할 계획이다.

롯데카드 측은 “향후 5년간 1천100억원의 정보보호 관련 투자를 집행해 IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다”며 “이를 통해 자체 보안관제 체계를 구축해 24시간 실시간 통합보안 관제체계를 강화하고, 전담 레드팀을 신설해 해커의 침입을 가정한 예방 활동을 상시화하겠다”고 밝혔다.

금융당국은 현재 롯데카드의 검사가 진행중에 있는 만큼 검사 결과를 단정하기 어렵다는 입장이다. 다만 검사를 이어가며 위규사항을 밝히고 허술한 보안 체계에 대해 강도 높은 책임을 물을 예정이라고 발표했다.

결과에 따라선 롯데카드에 징벌적 과징금이 부과될 수도 있다. 금융위원회는 지난 18일 권대영 부위원장 주재로 긴급 대책회의를 열고 롯데카드 해킹 사고와 관련, 위규사항에 대해서 엄정한 조처를 내리겠다고 밝혔다.

금융위원회는 “보안 위규사항에 대한 일벌백계 차원에서 중대한 보안사고 발생 시 징벌적 과징금을 도입하고 금융사가 정부의 보안수준 개선요구를 제대로 이행하지 않으면 지속적인 이행강제금을 부과하는 등 긴장감 있는 관리가 이뤄지도록 할 것”이라고 강조했다.

금융감독원은 이번 해킹 사고에서 발견된 미흡사항 위주로 점검 체크리스트를 마련해 전체 카드사 대상으로 점검을 실시할 예정이다. 이에 카드사들에서도 서버를 재정비하는 등 준비에 만전을 기하는 모양새다.

한 카드업계 관계자는 “금융당국의 점검에 앞서 기존의 서버 정기점검에 더해 재점검을 실시하면서 보안 상태를 확인하고 있다”고 말했다.

또 다른 카드업계 관계자는 “외부에서 주기적으로 받는 검사 주기를 단축하는 한편 보안 체계를 면밀히 검토하고 있다”고 덧붙였다.

한편 롯데카드의 최대주주인 사모펀드 MBK파트너스는 이번 해킹 사안에 대해 특별한 입장을 밝히지 않은 것으로 알려졌다.

롯데카드 관계자는 “당사는 MBK파트너스로부터 특별한 입장을 전달받은 바 없다”고 말했다.

【 청년일보=신정아 기자 】

Search