롯데카드, 297만명 정보 털렸다…28만명은 CVC 유출

롯데카드 해킹 피해 고객이 300만 명에 달하는 것으로 확인됐다. 롯데카드 전체 회원(967만 명) 기준 세 명 중 한 명은 개인정보가 유출됐다는 얘기다. 카드업계에서 발생한 해킹 피해 규모로는 2014년 카드 3사 대량 개인정보 유출 사태 이후 최대 수준이다. 카드번호와 카드고유확인번호(CVC) 등 민감 정보까지 유출된 것으로 나타나자 금융당국은 롯데카드에 엄정 제재를 예고했다.

◇ 11년 만에 초유의 해킹 사태

조좌진 롯데카드 대표는 18일 서울 태평로 부영태평빌딩에서 기자회견을 열고 “금융감독원과 금융보안원이 합동 조사한 결과 200GB에 달하는 고객 정보가 추가적으로 반출된 정황이 발견됐다”며 “고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다”고 고개를 숙였다.

롯데카드에 따르면 이번 해킹 피해를 본 고객 규모는 297만 명이다. 이 가운데 28만 명은 카드번호, 비밀번호, 유효기간, CVC, 주민등록번호 등 민감한 정보가 대거 유출됐다. 이들은 7월 22일부터 지난달 27일까지 새로운 페이 결제 서비스나 쇼핑몰에서 카드 정보를 새로 등록한 것으로 파악됐다.

조 대표는 “그 정보가 오프라인 결제에 부정 사용될 소지는 없다”며 “단말기에 카드 정보를 직접 입력해 결제하는 방식인 일부 키인(key in) 거래에선 부정 사용 가능성이 존재한다”고 밝혔다. 이어 “현재까지 부정 사용 사례는 확인되지 않았다”고 덧붙였다.

해킹이 이뤄진 건 지난달 14일이다. 하지만 롯데카드가 처음 인지한 건 같은달 26일이었다. 온라인 결제 서버에서 외부 침입 흔적이 발견됐다. 롯데카드 측은 전체 서버를 대상으로 정밀 조사를 했고, 3개 서버에서 악성코드와 웹셸을 발견해 삭제했다. 당시까지만 해도 고객 정보 유출 정황은 확인되지 않았다. 이후 31일 약 1.7GB 분량의 데이터 반출 흔적이 포착됐다. 하지만 초기 조사에서는 고객 정보 유출은 드러나지 않았다.

롯데카드는 다음 날인 이달 1일 금감원과 금융보안원에 해킹 사실을 신고했다. 이튿날부터 금감원과 금융보안원의 현장 검사가 이뤄졌고 조사 과정에서 200GB 분량의 데이터가 추가로 반출된 정황이 발견됐다. 이번 해킹은 롯데카드가 7월 정보보호 관리체계 인증(ISMS)을 받고 불과 한 달 만에 벌어졌다. 조 대표는 “해커가 교묘하게 짧은 공격을 반복해 파일을 잘게 나눠 가져갔고, 그 파일이 대부분 암호화돼 있었다”며 “이를 하나하나 해독해 고객별 로그 데이터를 정리하고 어떤 고객의 어떤 정보가 유출됐는지 매칭하는 데 시간이 오래 걸렸다”고 해명했다.

◇ 과징금 규모 막대할 듯

롯데카드는 부정 사용에 따른 피해 발생 시 전액을 보상할 방침이다. 개인정보 유출 고객 전원에게는 10개월 무이자 할부, 재발급 고객 연회비 면제 등 구체적인 보상 방안을 내놨다. 또 향후 5년간 1100억원 규모 정보보호 관련 투자를 집행하겠다고 밝혔다.

하지만 대규모 제재는 피하기 어려울 것으로 예상된다. 특히 2017년 도입된 보안 패치가 해외 결제 시스템에 적용되지 않은 점이 이번 해킹의 원인으로 지목돼 롯데카드가 보안 투자에 뒷전이었다는 비판이 제기됐다. 여기에 2019년 롯데카드를 인수한 사모펀드 MBK파트너스의 책임론도 불거졌다. 윤한홍 국민의힘 의원에 따르면 롯데카드의 지난해 말 네트워크 보안 지출액은 116억원으로 2021년(137억원) 대비 14.7% 줄어든 것으로 나타났다.

금융당국은 이날 긴급회의를 열고 “일벌백계 원칙하에 엄정 제재하겠다”고 밝혔다. 나이스신용평가는 “영업수익 등을 고려하면 롯데카드가 해킹 사고로 최대 800억원의 과징금을 부과받을 가능성이 있다”고 예상했다. 이는 올해 롯데카드의 상반기 영업이익(590억원)을 훌쩍 뛰어넘는다.

이번 해킹 사태로 롯데카드 매각 작업도 난항을 겪을 전망이다. MBK파트너스는 2022년 JP모간을 주관사로 선정해 첫 매각을 시도했지만 무산됐다. 재매각을 위해 예비 입찰 등을 진행했지만 마땅한 인수자를 찾지 못한 것으로 알려졌다.

장현주/서형교 기자 blacksea@hankyung.com