960만 여명의 회원을 보유한 롯데카드의 해킹 사고가 발생한 가운데, 조좌진 롯데카드 대표이사가 18일 오후 서울 중구 부영태평빌딩에서 사이버 침해 사고에 대한 사과 및 고객 보호 조치 등과 관련해 입장을 밝히고 있다. /이새롬 기자

[더팩트 | 김태환 기자] 조좌진 롯데카드 대표가 해킹으로 인해 고객정보가 유출된 회원이 총 297만명이며, 카드 부정사용이 우려되는 고위험 유출군은 28만명이 있다고 밝혔다. 고객정보 유출로 인한 피해가 확인될 경우 전액 피해 보상을 해주고, 유출 고객 전원에게 무이자 10개월 할부와 카드 재발급시 차년도 연회비 무료 등의 보상을 제공한다는 방침이다.

조좌진 롯데카드 대표는 18일 서울 부영태평빌딩 컨벤션홀에서 사이버 침해 사고에 대한 브리핑을 열고 고객정보 유출에 대한 사과와 보상 방안, 보안 대응책 등을 발표했다.

조좌진 대표는 "최근 발생한 저희 회사(롯데카드)의 사이버 침해 사고로 고객 여러분들께 크나큰 불안과 심려를 끼쳐드린 점에 대해 무한한 책임을 느낀다"면서 "고객 여러분과 유관 기관 여러분께 심려를 끼쳐드려 진심으로 죄송하다"고 밝혔다.

조 대표는 사고 경과부터 설명했다.

지난 8월 26일 온라인 결제 서버에서 외부 해커의 침해 흔적이 발견됐으며, 롯데카드는 즉시 전체 서버에 대한 정밀조사를 진행했다.

그 결과 3개 서버에서 2종의 악성코드와 5종의 웹셀을 발견해 즉시 삭제조치했다. 하지만 8월 31일 낮 12시경 온라인 결제 서버에서 외부 공격자가 1.7기가바이트(GB) 분량의 데이터 반출을 시도한 흔적을 발견했고, 유출된 사항에 대한 조사를 진행했다.

이후 9월 1일 오전 10시경 금융당국에 침해사고 사실을 보고, 9월 2일부터 금융감독원과 금융보안원의 현장 검사가 열렸다. 이 조사 과정에서 200GB 분량의 데이터가 추가적으로 반출된 정황을 발견했다.

이후 관계기관과 정밀 분석을 열고, 9월 17일 특정 고객의 정보가 유출된 사실을 최종 확인했다.

조 대표는 "고객정보가 유출된 총 회원 규모는 297만명이며, 온라인 서버를 통한 결제 과정에서 생성·수집된 데이터인 △CI(Connecting Information) △가상결제코드 △내부식별번호 △간편결제 서비스 종류 등이 유출됐다"면서 "전체 유출 고객 중 유출된 고객정보로 카드 부정사용으로 이어질 가능성이 이쓴ㄴ 고객은 총 28만명으로 확인됐다"고 말했다.

그는 "나머지 269만명의 경우에는 일부 항목만 제한적으로 유출돼 해당 정보만으로는 카드 부정사용이 발생할 가능성이 없음을 확인했다"면서 "카드 재발급을 별도로 하실 필요는 없으나, 불안을 해소하고 싶은 분들은 롯데카드앱이나 홈페이지를 통해 비밀번호 변경, 해외 거래 차단, 카드 재발급 등을 신청하면 된다"고 설명했다.

고객보상과 관련해서는 침해 사고로 발생한 피해에 대해 피해액 전액을 보상한다는 방침이다.

조 대표는 "이번 침해사고로 인해 발생한 피해에 대해서는 그 어떠한 손실도 고객에게 전가하지 않겠다"면서 "롯데카드는 고객 피해 제로화를 최우선 과제로 대표이사 주재로 전사적 비상대응체계를 가동하겠다"고 언급했다.

비상대응을 통해 롯데카드는 고객정보가 유출된 297만명 고객 전원에 대해 개별적으로 고객정보 유출 안내 메시지를 전송하고, 부정사용 가능성이 있는 고객 28만명에게는 재발급 안내 문자를 추가로 발송할 계획이다.

롯데카드는 또 이상거래탐지시스템인 FDS 모니터링을 한층 강화하고, 해외 온라인 결제 시 기존 결제 이력이 없는 가맹점에서의 결제 건은 전화 본인 확인 후에만 승인하고 있다. 침해사고 전용 24시간 상담센터의 인력을 확충해 신속 상담도 지원한다.

960만 여명의 회원을 보유한 롯데카드의 해킹 사고가 발생한 가운데, 조좌진 롯데카드 대표이사와 임원진이 18일 오후 서울 중구 부영태평빌딩에서 사이버 침해 사고에 대해 사과하며 고개를 숙이고 있다. /이새롬 기자

시스템 보안 강화 작업도 속도를 높이고 있다. 온라인 결제 시스템의 서버, 운영체제, 소프트웨어 환경을 전면 교체해 보안 수준을 한층 강화하고, 주요 시스템 계정 접속 및 인증 체계 강화, 네트워크 보안 및 데이터 암호화 관리도 3개월 내 고도화를 완료한다는 계획이다.

고객 보상과 관련해서는 고객정보가 유출된 전원에게 무이자 10개월 할부 서비스를 무료로 제공한다. 또 피싱, 해킹 등의 금융사기 또는 사이버 협박에 의한 손해가 발생하면 보상 해주는 금융피해 보상 서비스 '크레딧케어'도 연말까지 무료로 제공한다.

최우선 재발급 대상인 28만명 고객은 카드 재발급 시 차년도 연회비를 한도 없이 면제할 계획이다. 면제시 연회비 규모는 약 56억원 수준으로 추산된다.

조 대표는 "향후 5년간 1100억원의 정보보호 관련 투자를 집행함으로써 IT예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다"면서 "고객 피해를 제로화하고, 고객분들의 불편을 최소화하는 임무가 롯데카드 대표이사로서의 마지막 책무라는 결연한 마음가짐으로 최선을 다할 것을 약속드린다"고 말했다.

kimthin@tf.co.kr

발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.

· 카카오톡: '더팩트제보' 검색

· 이메일: jebo@tf.co.kr

· 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write

· 네이버 메인 더팩트 구독하고 [특종보자→]

· 그곳이 알고싶냐? [영상보기→]