최초 유출 1.7GB선 무슨 정보 털렸는지 몰라… 불안 증폭

롯데카드 해킹 사고로 유출된 정보에 카드번호와 비밀번호(2자리), 유효기간, CVC 등이 포함된 것으로 확인되면서 고객들의 불안이 가시지 않고 있다. 특히 최초로 유출된 1.7GB(기가바이트) 분량의 데이터는 해당 내용을 특정하는 데 실패해 추가 피해 발생 우려도 큰 상황이다.

롯데카드는 18일 서울 중구 부영태평빌딩에서 기자회견을 열어 외부 해커의 온라인 서버 공격으로 297만명의 고객 정보 유출이 새로 확인됐다고 밝혔다. 조좌진 대표는 “200GB 분량의 데이터가 추가로 반출된 정황이 발견됐다”며 “17일 특정 고객의 일부 정보가 유출된 사실을 최종적으로 확인했다”고 말했다. 확인된 유출 개인 정보는 카드번호와 비밀번호(2자리), 유효기간, CVC, 주민등록번호, 생년월일, 전화번호 등이다.


297만명 중 7월 22일부터 8월 27일 사이에 페이결제 서비스나 커머스 사이트에 카드정보를 입력했던 28만명은 결제에 필요한 대부분 정보가 유출돼 부정 사용 가능성이 있다. 단말기에 카드 정보를 직접 입력해 결제하는 방식인 ‘키인(Key in)’ 거래의 경우 부정 사용 가능성을 배제할 수 없다.

특히 상대적으로 인증 절차가 간편한 해외에서 부정 사용 우려가 크다. 국내와 달리 인증 절차가 간편해 이름과 카드번호, 유효기간, CVC 등으로 결제가 가능한 국가들이 있다. 롯데카드는 해외 결제로 인한 피해를 막기 위해 현재 정보가 유출된 고객의 해외 결제를 일괄적으로 차단한 상태다. 조 대표는 “고객이 회사에 전화해 승인을 해 달라고 요청하면 승인을 하는 구조로 움직이고 있다”고 설명했다.

더욱이 지난달 14~15일 반출된 1.7GB 데이터는 유출 내용조차 특정하지 못해 불안을 키우고 있다. 해커가 파일을 유출한 후 서버 내 파일을 삭제해 내용 특정이 불가능하다는 게 회사의 설명이다. 개인정보가 담긴 서버는 아니라는 게 회사 설명이지만, 해당 기간 수만명으로 추정됐던 피해 고객을 특정할 수 없어 불씨를 남겼다는 평가가 나온다.

롯데카드는 정보가 유출된 고객 대상으로 문자를 통해 사실 고지와 카드 재발급 등 조치 사항을 안내 중이다. 부정 사용 가능성이 있는 28만명에게는 최우선으로 카드 재발급 조치를 할 계획이다. 회사는 나머지 269만명은 카드 부정 사용이 발생할 가능성이 없어 재발급은 받을 필요가 없다고 설명했다. 조 대표는 “(269만명은) 일부 항목만 제한적으로 유출돼 카드 재발급을 별도로 할 필요는 없다”며 “그럼에도 불안을 해소하고 싶은 분들은 롯데카드 앱이나 홈페이지를 통해 카드 재발급 등을 신청하면 된다”고 말했다.

롯데카드는 보상책을 함께 발표했으나 비판의 목소리가 크다. 롯데카드는 고객 정보가 유출된 고객을 대상으로 연말까지 10개월 무이자 할부를 제공하겠다고 밝혔다. 부정 사용 가능성이 있는 28만명에게는 카드 재발급 시 다음 해 연회비를 한도 없이 면제하기로 했다. 한 롯데카드 고객은 “롯데카드로 돈을 더 쓰라는 건가 하는 생각이 들어 황당했다”며 “경쟁 카드사의 상시 이벤트 수준”이라고 평가했다. 카드사용 알림서비스 등을 연말까지 무료로 제공한다고 한 것도 보상책에 포함됐는데, 해당 서비스 요금은 월 300원이다. 이날 롯데카드 애플리케이션은 정보 유출을 확인하려는 접속자가 한꺼번에 몰리면서 접속이 지연됐다.

나이스신용평가는 이번 해킹 사건으로 롯데카드가 최대 800억원의 과징금을 부과받을 수 있다고 추산했다. 나신평은 이날 보고서에서 “정보통신망법상 고객정보 유출 시 매출액의 최대 3%까지 과태료 부과가 가능하다”며 이같이 전망했다. 롯데카드 지난해 총 영업수익 약 2조7000억원을 기준으로 3% 과징금이 부과되면 800억원 수준이다. 이는 지난해 롯데카드 당기순이익 1354억원의 60%에 달한다.

이광수 기자 gs@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재, 수집, 재배포 및 AI학습 이용 금지