롯데카드는 18일 해킹 공격으로 297만명의 회원 정보가 유출됐다고 발표했다. 조좌진 대표는 이날 기자회견에서 "고객에게 발생한 피해는 전액 보상하겠다"며 공식 사과했다.

유출된 정보는 7월 22일부터 8월 27일 사이 온라인 결제 과정에서 생성·수집된 데이터로, 연계정보(CI), 주민등록번호, 가상결제코드, 내부식별번호, 간편결제 서비스 종류 등이다. 전체 유출 고객 중 28만명은 카드 부정사용 가능성이 있어 재발급 대상으로 분류됐다.

롯데카드에 따르면 8월 26일 온라인 결제 서버에서 외부 해커의 침해 흔적이 발견됐다. 전체 서버 점검 결과 3개 서버에서 2종의 악성코드와 5종의 웹쉘을 발견해 즉시 삭제했다.

8월 31일 오후 12시경 외부 공격자가 1.7기가바이트(GB) 분량의 데이터 반출을 시도한 흔적이 발견됐고, 9월 1일 금융당국에 침해사고를 보고했다. 이후 금융감독원과 금융보안원의 현장 검사에서 200GB 분량의 데이터가 추가로 반출된 정황이 확인됐다.

롯데카드는 정보 유출 고객 전원에게 개별 안내 메시지를 발송하고, 연말까지 무이자 10개월 할부 서비스와 금융피해 보상 서비스인 크레딧케어를 무료 제공한다. 카드사용 알림서비스도 연말까지 무료로 제공한다.

재발급 대상 28만명에게는 차년도 연회비를 한도 없이 면제하며 해외 온라인 결제시 전화 본인 확인 후에만 승인하는 등 강화된 모니터링을 실시하고 있다.

정보보호 투자에 대한 문제제기에 조 대표는 "금융권에서는 IT 예산 대비 7% 정도는 정보보호 예산으로 사용하라는 가이드라인을 제시하고 있는데 롯데카드는 10% 수준을 유지하고 있었다"고 밝혔다.

이어 "향후 5년간 1100억원의 정보보호 투자를 통해 IT 예산 대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다"며 "24시간 실시간 통합보안 관제체계 구축과 전담 레드팀 신설로 재발 방지에 만전을 기하겠다"고 말했다.

류지현 기자 / 경제를 읽는 맑은 창 - 비즈니스플러스