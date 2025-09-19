약 960만 명의 회원을 보유한 롯데카드가 해킹으로 297만 명의 고객 정보가 유출된 것으로 확인됐다고 18일 발표했다. 유출 데이터는 첫 신고 규모의 100배가량인 200GB(기가바이트)에 달한다. 이 중 28만 명은 카드 결제의 핵심정보인 CVC(카드 뒷면 숫자 3자리)까지 유출돼 부정 결제 피해를 입을 가능성이 있는 것으로 확인됐다.
조좌진 롯데카드 대표는 이날 서울 중구 부영태평빌딩에서 기자회견을 열고 “고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다”며 “이번 사고로 발생한 피해는 책임지고 피해액 전액을 보상할 것”이라고 밝혔다. 유출된 회원 정보는 주민등록번호, 가상 결제코드 등 온라인 결제 과정에서 생성되거나 수집된 데이터다. 조 대표는 “카드 부정 사용이 발생할 가능성이 있는 고객은 28만 명으로 카드번호, 유효기간, CVC 등이 유출됐다”고 말했다.
같은 날 이재명 대통령은 서울 용산 대통령실에서 수석보좌관회의를 주재하고 “기업에 책임을 묻는 것도 필요하지만 갈수록 진화하는 해킹 범죄에 맞서 범정부 차원의 체계적인 보안 대책을 서둘러야 되겠다”며 근본적인 대책 마련을 지시했다.
롯데카드 해킹 사고로 전체 회원의 3분의 1가량인 297만 명의 고객 정보가 유출돼 파장이 커지고 있다. 카드 결제에 핵심적인 ‘CVC’(카드 뒷면 3자리 숫자)가 털린 회원도 28만 명이나 돼 부정 결제 피해에 대한 우려도 나온다. CVC가 유출된 건 2014년 KB국민·NH농협·롯데카드 해킹 사태 때 이후 11년 만이다.
롯데카드는 금융당국에 사고를 처음 신고했을 때 유출 규모를 실제의 100분의 1도 안 되는 약 1.7GB(기가바이트)로 보고했다. 롯데카드는 해킹 사실을 사건 발생 17일이 지난 뒤에야 인지한 데다 해커가 그새 이 유출분을 아예 삭제해 누구의 어떤 정보가 털렸는지조차 확인하지 못했다. 초기 대응이 미숙했다는 비판이 나온다.
● 28만 명, 부정 결제 피해 가능성
18일 조좌진 롯데카드 대표는 서울 중구 부영태평빌딩에서 기자간담회를 열고 해킹 침해 관련 경위와 대국민 사과를 발표했다. 유출이 확인된 고객 정보는 온라인 결제 서버(WAS 서버)에서 생성되고 수집된 데이터로 고객의 성명은 유출되지 않았다.
28만 명의 고객은 카드번호와 비밀번호(2자리), CVC, 고객 정보(주민등록번호 등) 등이 유출돼 부정 결제가 일어날 가능성이 있다. 단말기에 카드 정보를 직접 입력해 결제하는 ‘키인(Key-In)’ 거래는 국내외 일부 가맹점을 통해 부정 거래가 발생할 수 있다. 현재 330만 개의 전체 가맹점 중 0.15% 정도에서 키인 결제가 이뤄지고 있다.
롯데카드는 키인 결제 시도가 이뤄지면 우선 차단하고, 승인 요청이 오면 소명 후 결제되도록 조치 중이다. 조 대표는 “키인 거래의 경우 부정 사용 가능성이 존재하나 현재까지 사례는 확인되지 않았다”고 했다. 롯데카드는 28만 명의 고객을 ‘최우선 카드 재발급 대상’으로 분류하고 안내 문자를 발송하면서 전화로 알리고 있다.
고객들은 롯데카드 홈페이지와 애플리케이션(앱)에서 개인정보 유출 여부를 확인할 수 있다. 이날 롯데카드 앱은 접속이 몰리면서 일시적으로 지연됐다. 카드번호 전체와 CVC, 유효기간, 비밀번호 등이 노출된 고객은 롯데카드에 빠르게 연락해 탈퇴하거나 카드 재발급을 신청해야 한다.
유출된 고객의 대다수인 269만 명은 고객 정보(주민번호 등), 가상 결제코드 등이 유출됐다. 해당 정보들만으로는 카드를 불법으로 사용할 수 없다.
롯데카드는 해킹 사고로 발생한 피해액(2차 피해 포함) 전액을 보상한다고 밝혔다. 조 대표는 “정보가 유출된 고객 전원에게는 연말까지 무이자 10개월 할부 서비스를 무료로 제공하겠다”며 “금융 피해 보상 및 카드 사용 알림 서비스도 연말까지 무료로 제공할 것”이라고 밝혔다. 최우선 재발급 대상인 고객 28만 명에게는 카드 재발급 시 이듬해 연회비를 한도 없이 면제한다.
● “해커, 조금씩 여러 차례 교묘하게 유출”
롯데카드의 신고로 수사당국이 해커의 실체를 수사하고 있다. 롯데카드에 따르면 해커는 2017년 롯데카드가 48개 서버의 보안을 강화하는 과정에서 보강 작업을 누락한 1개를 파고들었다.
롯데카드는 이달 초 당국에 유출 규모를 1.7GB로 잘못 신고한 이유에 대해 해킹이 워낙 조금씩 여러 번에 걸쳐 교묘하게 진행됐기 때문이라고 설명했다. 조 대표는 “처음에 1.7GB 서버 파일을 압축해서 들고 나간 흔적을 발견했는데, 파일들을 교묘하게 지워 어떤 정보가 나갔는지 확인할 수 없었다”며 “200GB 데이터를 짧게 잘라 4700개 정도로 가져간 것으로 파악했다”고 설명했다.
업계에서는 롯데카드의 최대주주인 사모펀드 MBK파트너스가 수익 극대화에 치중하면서 보안 투자를 소홀히 했다는 지적이 제기된다. 신용평가사인 NICE신용평가에 따르면 롯데카드가 이번 사고로 부담해야 할 과징금은 최대 800억 원에 이를 것으로 추산됐다. ● “중대 보안사고 발생하면 징벌적 과징금”
금융당국은 18일 롯데카드 해킹 사고 관련 긴급 대책회의를 열고 금융사의 보안 관리 체계를 근본적으로 바꾸기 위해 제도를 개선하겠다고 밝혔다. 금융당국은 보안사고가 발생할 때 금융사에 일반적 과징금 수준을 뛰어넘는 ‘징벌적 과징금’을 부과하는 방안을 도입하기로 했다. 금융당국의 보안 시스템 개선 요구를 제대로 이행하지 않은 금융사에는 ‘이행 강제금’도 부과할 예정이다.
권대영 금융위원회 부위원장은 “보안 투자를 비용이나 가외 업무로 인식하는 안이한 태도가 심각한 사태를 초래할 수 있다”며 “최고경영자(CEO) 책임 아래 전반적인 정보 보호 체계를 전면 재점검해 달라”고 주문했다.
