「ロッテカードのハッキング被害、ＳＫＴの１０倍」…個人情報をどう預けろというのか

会員数９６０万人余りを抱えるロッテカードで発生したハッキング被害の規模が雪だるま式に膨らんでいる。当初、ロッテカードは流出したデータは約１.７ＧＢ（ギガバイト）と報告していたが、金融当局の調査では実際に盗まれたデータ量は１００ＧＢ以上とされる。今年４月、通信会社ＳＫテレコムから流出したＵＳＩＭ情報９.８ＧＢの１０倍を超える規模だ。被害顧客数も当初予想の数万人から数百万人に増える可能性があるという。

ロッテカードは先月３１日、金融監督院に被害発生を報告した。だが、ハッカーが同社のクレジットカードオンライン決済サーバーにマルウェアを仕込み、ハッキングを試み始めたのは１４日からだという。同社は「個人情報流出は確認されていない」としているが、金融当局は顧客の決済履歴などが流出した可能性を排除せず、調査を続けている。

最近、国内の金融業界ではハッキング事件が相次いでいる。下半期だけでＳＧＩソウル保証、ウェルカム貯蓄銀行グループに続き、今回が３件目だ。１１年前の２０１４年、１億件を超える個人情報流出事件を経験したクレジットカード業界で、再び大規模な被害が起きたことも深刻だ。当時は信用評価会社の派遣社員が複数のカード会社から顧客情報や口座番号、カード番号、有効期限などの情報を抜き取り、２千万人以上の顧客が不便と不安にさらされた。

ロッテカードは、当時大量に情報が流出した３社のうちの１社だ。今回、ハッキング開始から１７日が経過するまで事態を把握できなかったこと自体が大きな問題だ。大手カード会社のセキュリティにこれほど大きな穴があるなら、顧客はどうやって安心して個人情報を預けられるだろうか。ロッテカードは全顧客のカードを再発行するとしているが、自分の情報が犯罪に悪用されるのではないかという不安は簡単には消えないだろう。

顧客の資金を扱う金融会社で発生するセキュリティ事故は、そのリスクと波及効果の面で、他分野のハッキングとは比較にならないほど重大だ。プライベートエクイティファンドのＭＢＫパートナーズが１９年にロッテカードを買収した後、セキュリティ体制への投資を怠ったのではないかという疑念も浮上している。いかなる場合でも、二次被害が発生しないよう徹底した原因究明と対策が求められる。