18일 롯데카드 조좌진 대표이사는 대국민 사과를 통해 해킹 사고 경위를 설명하고, 피해 지원 방안 등을 발표했다.
먼저 조 대표는 “롯데카드를 아껴 주시는 고객 여러분, 그리고 유관 기관 여러분께 심려를 끼쳐드려 진심으로 죄송하다”고 말했다.
이어 “이번 침해 사고로 인해 발생한 피해에 대해서는 그 어떠한 손실도 고객에게 전가하지 않겠다”라며 “롯데카드가 책임지고 피해액 전액을 보상할 것”이라고 강조했다.
롯데카드는 고객정보가 유출된 297만 고객 전원에 대해 오늘부터 개별적으로 고객정보 유출 안내 메시지를 보낸다.
특히 부정사용 가능성이 있는 고객 28만명에게는 재발급 안내 문자를 추가로 발송하고, 안내전화도 병행해 ‘카드 재발급’ 조치가 최우선적으로 이루어지도록 할 방침이다.
롯데카드는 고객정보가 유출된 고객 전원에게 연말까지 금액과 관계없이 무이자 10개월 할부 서비스를 무료로 제공한다. 이와 함께 피싱, 해킹 등의 금융사기 또는 사이버 협박에 의한 손해 발생 시 보상해주는 금융피해 보상 서비스인 ‘크레딧케어’도 연말까지 무료로 제공한다.
롯데카드에 따르면 지난 8월 26일 롯데카드는 온라인 결제 서버에서 외부 해커 침해 흔적을 발견했다. 정밀조사 결과 3개 서버에서 2종의 악성코드와 5종의 웹쉘을 발견해 즉시 삭제 조치했다.
이후 8월 31일 낮 12시경 온라인 결제 서버에서 외부 공격자가 1.7기가바이트(GB) 분량의 데이터 반출을 시도했던 흔적을 발견했으나, 고객정보 유출은 확인되지 않았다. 롯데카드는 다음날인 9월 1일 오전 10시경 금융당국에 침해사고 사실을 신속히 보고했다.
9월 2일부터 금융감독원과 금융보안원의 현장 검사가 진행됐고, 조사 과정에서 200기가바이트(GB) 분량의 데이터가 추가적으로 반출된 정황이 발견됐으며, 9월 17일 특정 고객의 일부 고객정보가 유출된 사실을 최종적으로 확인했다.
고객정보가 유출된 총 회원 규모는 297만명으로, 온라인 결제 서버에 국한해서 발생했다. 유출된 정보는 7월 22일과 8월 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터로, ▲CI(Connecting Information) ▲가상결제코드 ▲내부식별번호 ▲간편결제 서비스 등이다.
특히 전체 유출 고객 가운데 유출된 고객정보로 카드 부정사용으로 이어질 가능성이 있는 고객은 총 28만명으로 파악됐다.
다만 유출된 정보가 있다고 하더라도 오프라인 결제에 부정 사용될 소지는 없고, ATM을 통한 카드론, 현금서비스 사용도 불가하다.
나머지 269만명의 경우 일부 항목만 제한적으로 유출돼 해당 정보만으로는 카드 부정사용이 발생할 가능성이 없음을 확인했다. 때문에 카드 재발급을 별도로 할 필요는 없는 상황이다.
그렇지만 불안을 해소하고 싶은 고객은 롯데카드 앱이나 홈페이지를 통해 비밀번호 변경, 해외 거래 차단, 카드 재발급 등을 신청하면 된다.
롯데카드는 이상거래탐지시스템인 FDS 모니터링을 한층 더 격상한다는 계획이다. 해외 온라인 결제 시 기존 결제 이력이 없는 가맹점에서의 결제 건은 전화 본인 확인 후에만 승인하고, 국내 결제 또한 강화된 사전 사후 모니터링을 시행해 부정 결제 가능성에 대비한다.
침해사고 전용 24시간 상담센터의 인력을 확충해 고객이 보다 신속하게 상담을 받을 수 있도록 하고 온라인 결제 시스템의 서버, 운영체제, 소프트웨어 환경을 전면 교체해 보안 수준을 한층 강화한다.
또 향후 5년간 1100억원의 정보보호 관련 투자를 집행함으로써 IT 예산대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대할 방침이다.
조 대표는 “관계 기관의 조사에 적극 협력해 사고 원인을 명확히 규명하고, 문제 해결에 책임을 다하겠다”라며 “추후 진행 상황에 대해서도 숨김없이 투명하게 공개하고 필요한 사안은 고객 여러분께 신속히 안내해 드릴 것”이라고 약속했다. / 월요신문=고서령 기자