조좌진(왼쪽 다섯 번째) 롯데카드 대표이사가 18일 오후 서울 중구 부영태평빌딩에서 열린 기자회견에서 롯데카드 대규모 해킹 사고와 관련해 임원들과 함께 대국민 사과를 하고 있다. 롯데카드는 약 960만 명의 회원을 보유한 업계 5위권 카드회사이며 최근 해킹 공격 피해 조사 결과 297만 명의 회원 정보가 유출된 것으로 알려졌다. 임세준 기자

[헤럴드경제=유혜림·정호원 기자] 롯데카드 해킹 사고로 정보 유출 피해를 본 롯데카드 이용자가 297만명에 이른 것으로 밝혀졌다. 롯데카드는 약 960만명의 회원을 보유한 업계 5위권 카드회사로, 전체의 약 3분의 1에 가까운 회원 정보가 유출된 셈이다. 예상보다 커진 피해 규모에 조좌진 롯데카드 대표가 18일 오후 기자회견을 열어 이번 사태에 대해 사과헀다.

▶롯데카드, 대국민 사과 발표=조좌진 대표는 이날 오후 서울 중구 부영태평빌딩에서 기자회견을 열어 이같이 밝히며 “고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다”고 고개를 숙였다. 앞서 롯데카드는 지난 1일 해킹 공격을 당해 1.7GB 규모의 데이터가 유출됐다고 금융당국에 신고했다. 하지만 조사 결과 200GB 분량의 데이터가 추가 반출된 정황이 확인됐다.

피해 구제 방안으로는 전액 보상 방침을 밝혔다. 조 대표는 “이번 사고로 발생한 피해는 롯데카드가 책임지고 피해액 전액을 보상할 것”이라며 “2차 피해도 연관성이 확인되면 전액 보상하겠다”고 말했다. 이 밖에도 고객 정보가 유출된 고객 전원에게 연말까지 결제 금액과 관계 없이 무이자 10개월 할부 서비스를 무료로 제공하기로 했다.

유출된 정보 범위는 단순 개인정보를 넘어 카드 정보와 온라인 결제 요청 내역까지 포함된 것으로 확인됐다. 유출이 확인된 회원 정보는 온라인 결제 과정에서 생성·수집된 데이터로 ▷연계 정보(CI) ▷주민등록번호 ▷가상 결제코드 ▷내부 식별번호 ▷간편결제 서비스 종류 등이다. 조 대표는 “전체 유출 고객 중 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명”이라며 “유출 정보 범위는 카드번호, 유효기간, CVC번호 등”이라고 말했다.

특히 개인정보 중에서도 카드 결제 핵심 정보인 ‘CVC’(카드 뒷면 3자리 숫자) 등이 유출되면서 소비자 우려를 키우고 있다. 해외 온라인 가맹점에선 특별한 본인 인증 없이 카드번호와 유효기간, 비밀번호 앞자리 2개, CVC만 알아도 결제할 수 있기 때문이다.

이에 롯데카드는 “이들에게는 카드 재발급 조치가 최우선적으로 이뤄지도록 하겠다”고 말했다. 또 “나머지 269만명은 일부 항목만 제한적으로 유출됐다”면서 “해당 정보만으로 카드 부정사용이 발생할 가능성은 없다”고 선을 그었다.

조좌진 롯데카드 대표이사가 18일 오후 서울 중구 부영태평빌딩에서 열린 기자회견에서 롯데카드 대규모 해킹 사고와 관련해 대국민 사과를 하고 있다. 롯데카드는 약 960만 명의 회원을 보유한 업계 5위권 카드회사이며 최근 해킹 공격 피해 조사 결과 297만 명의 회원 정보가 유출된 것으로 알려졌다. 임세준 기자

▶개인정보유출 집단소송 움직임도=업계에선 이번 해킹 사태이 피해자들의 법적 대응으로 번질지 촉각을 곤두세우고 있다. 이미 ‘롯데카드 개인정보유출 집단소송 카페’가 개설됐으며 오전 9시30분 기준 현재 회원 수는 504명이다. 앞서 11년 전인 2014년 1억건이 넘는 개인정보 유출 사건이 발생한 신용카드 대규모 해킹 사고에서 피해를 본 카드사 회원들은 소송을 통해 배상금 10만원씩을 받아낸 바 있다. 당시 개인정보 일부는 대출중개업체 등에 넘어가 영업에 활용되기도 했다.

진수일 변호사는 “이미 롯데카드 개인정보 유출 집단소송 카페가 개설되는 등 적극적으로 권리 구제를 요청하는 개인들이 많아 소송 움직임으로 이어질 것으로 보인다”고 했다. 다만 집단 소송은 1~2년 넘게 소요되고 배상액도 약 10만원 수준에 그치다 보니 소송 참여율이 낮을 수 있다는 전망도 나온다. 또 과거 사례와 달리 이번 해킹 사건의 경우, 아직 구체적인 피해 사실이 확인되지 않은 만큼 소송이 성립하기 어렵다는 시각도 있다.

업계에선 보안 대책에 소홀했던 게 아니냐는 비판이 나오고 있다. 한 카드업계 관계자는 “사실 처음 밝힌 1.7GB 규모도 결코 적지 않은 수치였다”면서 “개인정보 항목 칼럼을 어디 수준까지 나누는지에 따라 유출 범위가 달라지겠지만 이번 해킹 사태가 터지면서 내부적으로도 파악해본 결과 최소 100만명이 넘는 이름, 주민등록번호와 같은 기본적인 정보는 다 담길 정도라 우려가 컸다”고 말했다.

롯데카드는 이번 개인정보 유출 사고를 계기로 보안 관리 체계를 전면 재점검할 방침이다. 네트워크 구간에 ASM(애플리케이션 보안 관리) 서비스를 도입해 취약점을 선제적으로 탐지·차단하고, 웹 방화벽 등 기존 보안 장비를 전면 재점검해 탐지·차단 역량을 강화할 계획이다. 최재영 롯데카드 마케팅 지원본부장은 “24시간·365일 통합 관제체계를 통해 비정상 대규모 모니터링을 상시 감시할 것”이라고 했다.

조좌진 롯데카드 대표이사가 18일 오후 서울 중구 부영태평빌딩에서 롯데카드 대규모 해킹 사고와 관련해 열린 기자회견에 참석하고 있다. 롯데카드는 약 960만 명의 회원을 보유한 업계 5위권 카드회사이며 최근 해킹 공격 피해 조사 결과 297만 명의 회원 정보가 유출된 것으로 알려졌다. 임세준 기자

▶“금융당국 제재 불가피”=아울러 이번 개인정보 유출 사태가 확정되면 롯데카드는 최고 수위의 제재가 불가피할 전망이다. 지난 4일 이재명 대통령은 최근 금융사와 통신사에서 연이어 발생하고 있는 해킹 사고와 관련해 “국민들이 매우 불안해한다”며 “보안 사고를 반복하는 기업들에 대해서는 징벌적 과징금을 포함한 강력한 제재가 이뤄질 수 있도록 조치를 신속하게 준비하라”고 지시한 바 있다.

과징금 또한 막대할 것으로 예상된다. 롯데·국민·농협카드는 지난 2014년에도 고객 정보 유출로 인해 3개월 영업정지 처분을 받은 바 있다. 당시 3사의 영업정지로 인한 손실은 1600억원대에 달했다. 현행 여신전문금융업법 시행령에 따르면 신용카드업자가 개인정보유출 등 신용질서를 어지럽히거나 소비자 보호에 미흡할 경우 최대 영업정지 6개월의 제재를 받을 수 있다.

한편, 오전에는 금융위원회가 금융감독원과 금융보안원 등 관계 기관들을 소집해 긴급 대책회의를 개최했다. 금융당국은 이번 사태와 관련해 금융보안 및 정보보호 관리상의 미흡 사항을 철저히 조사해 엄정한 제재를 가한다는 방침이다. 현재 웹서버 관리, 악성코드 감염 방지 등 사태 전반에 대한 검사가 진행 중이다. 전체 카드사 보안 실태에 대한 금감원 점검을 즉시 개시하고 위규사항 발견 시 즉시 보완 및 제재 조치하겠다고 했다.

권대영 금융위원회 부위원장은 “전 금융회사 CEO가 ‘보안’을 소비자 보호와 금융 신뢰성을 지키기 위한 가장 기본적이고 핵심적인 책무”라는 확고한 인식을 가져야한다“면서 “보안투자를 비용이나 가외업무로 인식하는 안이한 태도가 심각한 사태를 초래할 수 있는 만큼 CEO 책임하에 전산 시스템 및 정보보호체계 전반을 전면 재점검해달라”고 주문했다.