롯데카드가 사이버 침해 사고에 머리를 숙였다. 고객에게 피해 발생 시 관련 금액 전액을 보상하겠다고 약속했다. 부정사용 피해 가능성이 있는 고객 28만명에게는 재발급 안내를 통해 오는 24일까지 신규 카드를 쓸 수 있도록 조치한다. 

향후 5년간 1100억원을 정보보호 분야에 추가 투자해 IT 전체 예산 대비 보안 투자액 비중을 기존 10%에서 15%까지 늘린다. 이는 금융권 가이드라인에서 제시하는 비중의 2배 수준이다. 상시 관제·모의 훈련 기능을 강화해 침해 리스크를 최소화 할 전망이다.

조좌진 롯데카드 대표이사는 18일 언론 브리핑을 통해 이 같은 내용을 밝혔다.

그는 최근 발생한 롯데카드 해킹 사건과 관련해 "고객정보가 유출된 총 회원 규모는 297만명"이라며 "전체 유출 고객 중 유출된 고객정보로 카드 부정사용으로 이어질 가능성이 있는 고객은 총 28만명으로 확인됐다"고 밝혔다.

이어 "이들에게는 언론 브리핑 후 1시간 내 문자를 발송해 재발급 안내를 드릴 것"이라며 "일 평균 재발급 소화량인 3만장을 2배로 늘려 내주 화, 수요일까지 재발급 카드를 사용할 수 있도록 조치하겠다"고 덧붙였다.

그러면서 "이번 침해 사고로 인해 발생한 피해에 대해서는 그 어떠한 손실도 고객에게 전가하지 않겠다"며 "롯데카드가 책임지고 피해액 전액을 보상할 것"이라고 약속했다.

조좌진 대표 사과...부정사용 위험군 28만명 우선 조치

롯데카드는 이날 서울 중구 부영태평빌딩에서 언론 브리핑을 통해 해킹으로 인한 고객 정보 유출 사태에 대해 사과했다. 이 자리에는 조좌진 대표이사가 직접 나서 사고 경과와 고객정보 유출 내역, 고객 보호조치를 소개했다.

브리핑에 따르면 롯데카드는 지난달 26일 온라인 결제 서버에서 외부 해커의 침해 흔적을 발견했다. 이후 전체 서버를 정밀조사해 3개 서버에서 악성코드 2종과 웹쉘을 발견하고 이를 삭제했다. 이 과정에 다른 데이터베이스로의 전이나 추가적인 악성코드 감염은 없었다.

롯데카드는 같은 달 31일 온라인 결제 서버에서 1.7기가바이트(GB) 분량의 데이터 반출 시도 흔적도 발견했다. 다만 유출 사항에 고객정보는 없었다. 금융당국 신고는 이튿날인 9월 1일 이뤄졌다.

9월 2일 진행된 금융감독원과 금융보안원 현장 검사에서 200GB 분량의 데이터가 추가적으로 반출된 정황이 발견됐다. 이후 정밀분석을 통해 297만명의 고객정보가 유출된 사실을 지난 17일 확인했다. 암호화된 파일의 복호화와 고객별 정보 유출 여부 등을 파악하는데 시간이 소요됐다.

유출된 정보는 ▲연결 정보(CI) ▲가상결제코드 ▲내부식별번호 ▲간편결제 서비스 종류 등이다. 지난 7월 22일과 8월 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집됐다.

유출 항목은 개개인이 다르다. 유출된 고객정보가 카드 부정사용으로 이어질 가능성이 있는 고객 규모는 총 28만명이다. 유출 정보에 카드번호, 유효기간, CVC번호 등이 포함된 이들이다. 이 가운데 5만5000명에 대한 조치는 지난 17일 완료됐다.

조 대표는 "해당 고객들은 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록하신 고객들의 경우"라고 부연했다.

롯데카드는 카드 복제 가능성을 일축했다. 오프라인에서 부정 사용될 가능성도 부인했다. 현재까지 파악된 유출 정보만으로는 온라인에서도 부정 사용이 어렵다고 봤다.

조 대표는 "유일하게 단말기에 카드정보를 직접 입력해 결제하는 방식인 일부 키인(KEY IN) 거래에 부정사용 가능성이 존재하나 현재까지 부정사용 사례는 확인되지 않았다"고 말했다. 

키인 거래는 카드로 결제 시 IC칩이나 마그네틱에 문제가 발생할 때 사용하는 결제 방식을 뜻한다. 오래된 가맹점이나 해외 특정 가맹점 등을 통해 발생할 가능성이 있다. 롯데카드는 이상 거래 발생 가능성에 대해 모니터링을 진행 중이다.

정보보호 투자액 2배로...인적쇄신 및 경영 메커니즘 재구축

롯데카드는 전사적 비상대응체계를 가동해 피해 확산 방지에 주력한다. 정보 유출 피해를 입은 고객 297만명에 안내 메시지를 순차적으로 발송하고, 부정사용 가능성이 있는 28만명에게는 문자·전화 안내를 병행해 카드 재발급에 속도를 낸다.

이상거래탐지시스템인 FDS 모니터링도 강화한다. 롯데카드앱 메인 화면 상단에 보안조치에 대한 메뉴를 배치하고, 침해사고 전용 24시간 상담센터 인력을 확충한다. 주요 시스템 계정 접속 및 인증 체계를 강화하고 네트워크 보안 및 데이터 암호화 관리도 3개월 내 고도화를 완료할 계획이다.

향후 5년간 1100억원을 정보보호에 투자해 IT 전체 예산 대비 15% 수준까지 보안 예산도 상향한다. 롯데카드는 2020년 이후 정보보호 분야에 연간 100억원 안팎의 예산을 배정해왔다. 

조 대표는 "금융권 가이드라인에 IT 예산 대비 7% 정도는 기본적으로 정보보호 예산에 쓰라는 기준이 있다"며 "우리 기준은 현재 10% 정도로 여기서 더욱 끌어올리겠다는 것으로 이해해달라"고 말했다.

아울러 "저를 포함해 시장에서 충분히 납득할만한 수준의 인적쇄신을 연말에 단행할 것"이라며 "이번 사태를 단순히 정보 보안 문제에 대한 조치가 아니라 새로운 롯데카드 경영 메커니즘을 구축하는 차원으로 추진할 것"이라고 강조했다.

임경호 기자 lim@techm.kr