롯데카드가 해킹 공격으로 전체 회원의 약 3분의 1에 해당하는 297만 명의 개인정보가 유출된 사실을 공식 확인했다.
이 가운데 28만 명은 카드번호·유효기간·CVC번호까지 유출돼 부정 사용 우려가 제기되고 있다.
롯데카드가 18일 서울 부영태평빌딩에서 긴급 언론브리핑을 열고 사이버 침해 사고 경위와 대국민 사과를 발표했다.
이번 롯데카드 해킹 사태는 지난 7월 14일 처음 침해가 발생한 뒤, 지난달 26일 온라인 결제 서버에서 해커 침입 흔적이 발견되면서 파악됐다.
지난달 31일에는 1.7GB 규모의 데이터 반출 시도가 확인됐고, 금융감독원과 금융보안원의 현장 검사 과정에서 200GB 분량의 추가 반출 정황이 드러났다.
최종 확인된 유출 고객정보는 온라인 결제 과정에서 생성·수집된 데이터다.
주요 항목은 연계정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류 등이다. 고객 이름은 포함되지 않았다.
조사 결과, 전체 297만 명 중 269만 명은 제한적인 항목만 유출돼 카드 부정 사용 가능성은 낮다.
그러나 28만 명은 카드번호·유효기간·CVC번호·비밀번호 일부(앞 2자리)까지 노출돼 해외 온라인 거래 등에서 부정 사용 위험이 존재한다.
롯데카드는 유출 고객 전원에게 개별 안내 메시지를 발송하고, 특히 재발급이 필요한 고객에게는 문자와 전화를 통해 즉시 카드 교체를 지원한다.
또 올해 연말까지 전원에게 무이자 10개월 할부 서비스를 무료 제공하고, 피해 가능성이 큰 고객에게는 내년도 연회비 면제를 약속했다.
조좌진 롯데카드 대표는 "이번 사고로 심려를 끼쳐 진심으로 사과드린다"며 "발생하는 피해는 전액 보상하고, 2차 피해도 연관성이 확인되면 전액 보상하겠다"고 밝혔다.
롯데카드는 이번 사태를 계기로 보안 체계를 대폭 강화하기로 했다.
온라인 결제 서버, 운영체제, 소프트웨어를 전면 교체하고, 계정·인증 체계 및 네트워크 암호화 관리도 3개월 내 개선할 계획이다.
또한 향후 5년간 1100억원 규모의 정보보호 투자를 집행해 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대한다.
자체 보안 관제 체계와 전담 레드팀을 신설해 해커 침입을 가정한 모의 대응을 상시화하겠다는 구상이다.
조 대표는 "사고 원인을 철저히 규명하고, 재발 방지를 위해 전사적인 역량을 투입하겠다"고 밝혔다.