롯데카드, 297만명 고객 정보 유출

롯데카드의 해킹 공격 피해 조사 결과 297만명의 회원 정보가 유출된 것으로 드러났다. 전체 회원 960만명의 3분의 1에 가까운 회원의 개인 정보가 유출된 것이다.

조좌진 롯데카드 대표는 18일 오후 기자회견을 열어 대국민 사과 후 이같이 밝혔다. 유출이 확인된 회원 정보는 온라인 결제 과정에서 생성·수집된 데이터로 ▲연계 정보(CI) ▲주민등록번호 ▲가상 결제코드 ▲내부 식별번호 ▲간편결제 서비스 종류 등이다.

조좌진 대표는 "전체 유출 고객 중 유출된 고객 정보로 카드 부정사용이 발생할 가능성이 있는 고객은 총 28만명"이라며 "유출 정보 범위는 카드번호, 유효기간, CVC번호 등"이라며 민감한 개인정보가 유출됐음을 토로했다.

이들의 경우 단말기에 카드 정보를 직접 입력해 결제하는 키인(Key in) 거래 시 부정사용 가능성이 있다고 그는 설명했다. 이어 "해당 고객은 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드정보를 신규 등록한 고객"이라며 "카드 재발급 조치가 최우선적으로 이뤄지도록 하겠다"고 말했다.

조 대표는 "나머지 269만명은 일부 항목만 제한적으로 유출됐다"며 "해당 정보만으로 카드 부정사용이 발생할 가능성은 없다"고 말했다. 그는 "정보 유출은 온라인 결제 서버에 국한해 발생했으며, 오프라인 결제와는 무관하다"고 덧붙였다.

조 대표는 "이번 사고로 발생한 피해는 롯데카드가 책임지고 피해액 전액을 보상할 것"이라며 "2차 피해도 연관성이 확인되면 전액 보상하겠다"고 말했다.

롯데카드는 애초 금융감독원에 1.7GB 분량의 데이터 유출을 보고했다. 그러나 금융당국의 조사 결과 최초 보고보다 120배 많은 200기가바이트(GB)에 이르는 데이터가 유출된 것으로 파악됐다.

지난 4월 SK텔레콤에서 유출된 9.82GB보다 20배 이상 많다. 카드 결제의 핵심 정보인 카드 뒷면 3자리 숫자(CVC), 유효기간, 결제내역 등도 포함된 것으로 알려졌다.

롯데카드는 가입자 960만명으로 국내 카드사 랭킹 5위다. 롯데카드에선 지난 2014년에도 1억건의 개인정보 유출 사고가 발생했었다.

롯데카드는 2019년 롯데쇼핑이 지분 60%를 사모펀드 MBK파트너스에 매각함에 따라 지금은 MBK가 최대 주주다. 나머지 지분은 롯데쇼핑과 우리은행이 각각 20%씩 보유하고 있다. MBK파트너스는 롯데카드를 인수하면서 높은 인지도 때문에 계속 '롯데카드' 이름을 사용하기로 롯데쇼핑과 합의했다.

MBK파트너스는 롯데카드 인수 후 보안 투자에 소홀하지 않았느냐는 비판을 받고 있다. MBK파트너스는 차익 실현을 위해 올해 안에 롯데카드를 매각할 움직임인 것으로 알려졌다.