​​​​​​​[롯데카드 사태] 피해자 300만명에 달해…전부 카드 교체해야 하나

카드번호·CVC 등 유출…28만명 부정 결제 우려↑

재발급 조치 필요…유출 고객 전원 무이자 10개월

조좌진 롯데카드 대표이사 등 관계자들이 18일 서울 중구 부영태평빌딩에서 고객 정보 유출 사태에 대해 대고객 사과를 하고 있다. [사진=정윤영 기자]

롯데카드 해킹 피해 규모가 당초 예상보다 크게 불어나면서 고객 불안이 확산되고 있다. 주민등록번호, 카드번호, 유효기간 등 핵심 정보까지 노출된 사실이 확인되면서 고객들로서는 ‘카드를 당장 바꿔야 하는지’가 최대 관심사로 떠올랐다.
 
18일 롯데카드는 기자회견에서 이번 해킹으로 정보가 유출된 고객 297만명에게 개별적으로 안내 메시지를 발송했으며 부정 사용 가능성이 있는 고객 28만명은 ‘카드 재발급’ 조치가 최우선적으로 이루어지도록 하겠다고 밝혔다.

이번 사고는 피해 규모가 당초 예상치를 크게 웃도는 것으로 확인되면서 파장이 커지고 있다. 롯데카드는 처음엔 약 1.7GB의 데이터 유출을 신고했지만 실제 피해 규모는 200GB인 것으로 집계됐다. 유출된 정보는 CI(Connecting Information·연계 정보), 주민등록번호, 가상 결제코드, 내부식별번호, 간편결제 서비스 종류로 결제와 직결되는 민감 정보까지 포함됐다.

롯데카드에 따르면 유출 고객 중 28만명은 카드를 재발급해야 한다. 암호화되지 않은 카드번호와 비밀번호 두 자리, 카드 유효기간, CVC뿐 아니라 주민등록번호, 생년월일 등이 유출됐기 때문이다. 이런 정보들이 유출되면 키인 결제(실물 카드가 아닌 단말기에 카드 정보를 입력해 결제하는 방식)를 통한 부정 사용이 이뤄질 가능성이 있다.

대상자 28만명에게는 안내 문자가 발송되며 안내 전화도 지속적으로 제공될 예정이다. 대상자라면 애플리케이션(앱)이나 홈페이지를 통해서도 개인신용정보 유출 여부를 확인할 수 있고 재발급 조치를 취할 수 있다. 재발급된 카드에 대해 다음 해 연회비는 한도 없이 면제된다. 

이를 제외한 269만명은 의무적으로 카드 재발급을 할 필요는 없다. CI, 가상결제코드가 유출된 것으로 확인됐으나 이 정보만으로는 카드 부정사용이 불가능하기 때문이다. 롯데카드는 CI로는 주민등록번호 특정이 불가하며 이름이 유출될 우려가 없다고 설명했다. 그럼에도 피해가 발생한다면 전액 보상을 약속했다.

정보가 유출된 고객 전원(약 297만명)에게는 연말까지 금액과 관계없이 무이자 10개월 할부 서비스가 무료로 제공된다. 또한  금융피해 보상 서비스와 카드사용 내역을 확인할 수 있는 카드사용 알림서비스도 연말까지 무료로 제공한다.

다만 혜택 수준에 대한 고객 반응은 냉담하다. 롯데카드를 5년간 사용해 온 30대 여성 김모씨는 “SK텔레콤을 쓸 때는 해킹 사고 이후 도미노피자 쿠폰 등 직접적인 추가 보상을 받았다”며 “반면 롯데카드는 연회비 2만~3만원 감면이나 무이자 할부 제공에 그쳐 피해 규모에 비해 보상이 턱없이 부족하게 느껴진다”고 지적했다.
 

고객 정보 유출 유형 및 고객 지원 방안에 대한 설명. [사진=정윤영 기자]

아울러 롯데카드 측 이번 조치가 실제로 피해 확산을 막기에 충분한지에 대해서는 여전히 의문이 제기되고 있다. 기자회견 자료에 따르면 개인정보 유출이 확실한 28만명을 제외한 나머지 269만명의 카드번호는 암호화돼 있어 위험성이 낮다고 설명했지만 이 가운데 약 47만명 주민등록번호가 유출된 사실이 확인됐다. 카드 부정사용으로 이어질 가능성은 낮더라도 주민등록번호가 새어나갔다는 사실만으로도 고객 불안을 키울 수 있다.

롯데카드는 추가 피해를 막기 위해 보안 절차를 강화한다는 방침이다. 해외 온라인 결제에 대해 기존 이용 이력이 없는 가맹점에서는 반드시 전화로 본인 확인을 거쳐야 승인되도록 했으며 국내 결제 역시 사전·사후 모니터링을 한층 강화했다.