[롯데카드 사태] 10년 전 카드해킹 때보다 '심각'…297만명 고객 정보 유출

28만명, 카드 복제 가능한 CVC 등 정보 유출

고개 숙인 조좌진 대표 "인적 쇄신에 사임 포함" 

금융당국, 최대 수준 제재 예고…李 대통령 "보완대책 서둘러야"

롯데카드 임원진이 고객 정보 유출에 대해 사과하고 있다. [사진=연합뉴스]

960만명의 회원을 보유한 롯데카드에서 297만명의 고객정보가 유출되는 대규모 해킹 사고가 발생했다. 금융사 해킹은 곧바로 금전 피해로 이어질 수 있다는 점에서 파장이 크다. 특히 2014년 대규모 정보 유출로 '카드 해지 대란' 사태가 벌어진 이후에도 카드업계가 여전히 회원 정보 보호에 취약하다는 사실에 고객 불신은 깊어지고 있다.

18일 금융당국과 롯데카드에 따르면 미상의 해커가 롯데카드의 온라인 결제서버에 침입하고 악성 프로그램을 설치해 지난 7월 22일부터 8월 27일 사이 생성·수집된 데이터 중 총 200GB(기가 바이트)의 정보를 유출했다. 그 결과 카드 회원의 30%에 달하는 약 297만명의 정보가 유출됐다. 특히 이 가운데 28만명은 카드번호·유효기간·CVC번호(카드 뒷면 3자리)까지 포함돼 부정 사용 가능성도 제기된다. 카드 재발급이 불가피하다는 뜻이다. 나머지 269만명은 CI(연계정보), 가상결제코드 등만 유출돼 직접적인 부정사용 가능성은 낮다고 회사는 설명했다.

당초 롯데카드는 지난달 31일 온라인 결제 서버에서 1.7GB 분량의 데이터 반출 시도 흔적을 발견했다. 그러나 금융감독원·금융보안원 조사 과정에서 추가 데이터 반출 정황이 드러났고, 결국 전날 일부 고객정보가 실제 유출된 사실이 최종 확인됐다. 아직까지 해커의 신원은 특정되지 않았다. 

문제는 정보 유출의 '질'이다. 지난 2014년 국민·롯데·NH농협카드에서 1억건이 넘는 개인정보가 새어나간 때도 카드 비밀번호와 CVC는 끝내 지켜졌다. 당시 유출된 항목은 △고객 이름 △주민등록번호 △집 주소 △신용등급 등 19개에 달했지만 결제 핵심정보는 보호됐다. 그러나 이번에는 결제의 최종 관문인 CVC마저 털리며 사태의 심각성이 더 커졌다.

문제는 일부 해외 온라인 가맹점은 카드번호·유효기간·비밀번호 앞자리 2개, CVC만 알면 결제가 가능하다는 점이다. 국내에서도 홈쇼핑 ARS 등 일부 거래에서도 단순 카드 정보값만으로 결제가 이뤄진다. 개인정보 유출을 넘어 실제 부정사용으로 이어질 수 있는 위험이 존재한다는 의미다. 이에 롯데카드는 해당 고객 28만명의 해외 결제를 막고, 카드 재발급 시 내년 연회비를 무제한 지원하겠다고 밝혔다.  

이번 사태는 단순 해킹을 넘어 경영 전반의 신뢰 문제로 비화할 가능성이 크다. 이번 사고는 롯데카드가 정보보호 관리체계(ISMS) 인증을 획득한 지, 불과 2주 만에 사고가 터졌다는 점에서 충격을 준다. 조좌진 롯데카드 대표는 기자회견에서 "고객과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다"며 "연말까지 대대적인 인적 쇄신을 포함해 조직을 고객 보호 중심으로 전환하겠다"고 밝혔다. 그는 특히 "대표이사로서의 마지막 책무라는 각오로 최선을 다하겠다"며 사실상 사임 가능성을 시사했다. 현재 조 대표의 공식 임기는 약 6개월 남아 있어, 금융당국 제재와 맞물려 조기 교체 가능성도 제기된다.

금융당국은 롯데카드 사태에 대해 “위규 사항을 낱낱이 밝혀 허술한 보안체계에 대해 강도 높은 책임을 물을 예정이다”라고 최대 수준의 제재를 경고했다. 개인정보·정보보안 관리의 허술함이 확인되면 최대 영업정지 6개월 제재와 과태료 등 강력한 조치를 검토하고 있다.

금융당국의 제재와 더불어 범정부의 종합대책도 추진될 전망이다. 이재명 대통령은 "금융기관 해킹으로 국민 피해가 계속 늘고 있다"며 "기업의 책임을 묻는 것도 필요하지만, 갈수록 진화하는 해킹 범죄에 맞서 범정부 차원의 체계적 보안대책을 서둘러야 한다"고 말했다.