[단독]롯데카드 해킹 데이터, 첫 신고의 100배 유출

이달 1일 1.7GB 데이터 유출 신고… 당국 조사 결과 최대 200GB 추산
4월 SKT 피해 규모 9.8GB의 20배… 통신-보험 이어 카드까지 불안 확산
롯데카드, 오늘 사과-사고경위 발표

약 960만 명의 회원을 보유한 롯데카드가 해킹당한 데이터 규모가 당초 보고된 수준의 약 100배인 200GB(기가바이트)에 육박하는 것으로 확인됐다. SK텔레콤·KT 등 통신사, SGI서울보증에 이어 카드사까지 해킹에 줄줄이 노출되면서 소비자들의 불안이 확산되고 있다. 보안이 상대적으로 취약한 것으로 알려진 저축은행 등 2금융권 해킹에 대한 우려도 커지고 있다. 인공지능(AI) 등을 통해 해킹이 더 손쉬워지고 교묘해진 만큼 기업들이 보안을 시급히 강화해야 한다는 지적이 나온다.

17일 금융권 및 금융당국에 따르면 롯데카드와 금융감독원, 금융보안원 등이 8월 발생한 롯데카드 해킹 사고를 조사한 결과 200GB에 달하는 데이터가 유출된 것으로 파악됐다. 정보 유출 규모에 대해 금융권 고위 관계자는 “최대 200GB로 추산되고 이 중 상당 부분이 개인정보로 추정된다”며 “롯데카드가 해킹 사고 직후 카드 재발급 등 소비자 보호 조치를 빠르게 취했으면 개인정보 유출로 인한 피해가 줄 수 있었을 텐데 아쉽다”고 밝혔다.

롯데카드는 이달 1일 금융당국에 해킹 사고 사실을 신고하면서 유출된 데이터를 약 1.7GB로 추산했다. 실제 유출 정보가 초기 보고 수치의 약 100배에 육박한 셈이다. 올 4월 SK텔레콤에서 유출된 2300여만 명의 개인정보는 총 9.82GB였다. 롯데카드에서 국내 1위 통신사의 유출 정보보다 약 20배나 많은 데이터가 유출된 셈이다. 이에 대해 롯데카드 관계자는 “개인정보 유출 여부를 계속 확인하고 있다”고 말했다.

유출 규모가 예상보다 급격히 불어나자 대통령실도 금융 소비자들의 피해 여부를 예의주시하고 있다. 이재명 대통령은 17일 오현주 국가안보실 3차장으로부터 관련 보고를 직접 받고 “잘 챙겨 보라”는 취지의 당부를 한 것으로 알려졌다.

금융당국은 18일 관계 기관들을 소집해 이번 사태에 대한 긴급 대책회의를 열기로 했다. 금융당국 고위 관계자는 “롯데카드 해킹 규모가 생각 이상으로 커 당국 차원의 대응 방안을 빠르게 밝힐 것”이라고 설명했다. 조좌진 롯데카드 대표는 이날 오후 대국민 사과와 함께 해킹 사고 경위, 고객보호 방안 등을 발표한다.

전문가들은 기업들이 보안 투자를 늘리고 정부는 조직 효율화 작업에 나서야 보안 및 감독 체계가 강화될 수 있다고 주장한다. 곽진 아주대 사이버보안학과 교수는 “AI 등 신기술을 활용한 새로운 공격으로 해킹이 더 첨예화되고 있다”며 “정부도 개인정보보호위원회와 한국인터넷진흥원(KISA)에 분산된 역할을 효율적으로 정리해야 해킹에 더 긴밀하게 대응할 수 있을 것”이라고 조언했다.

롯데카드, 해킹 17일간 몰라… “MBK, 인수뒤 보안투자 소홀”

[커지는 해킹 불안] 회원 960만명… 해킹 사태 파장
8월14일 발생 해킹, 31일에 인지… 유출 데이터 규모 제대로 파악 못해
금융권 “100만명대 정보 유출” 추산… 롯데카드 “보안 예산 꾸준히 증가”

서울 종로구 롯데카드 본사의 모습. 2025.9.17/뉴스1

회원 수 기준 업계 5위인 롯데카드에서 해킹으로 유출된 데이터가 최대 200GB(기가바이트)에 달하는 것으로 확인되면서 논란이 커지고 있다. 롯데카드가 해킹을 인지하고 금융당국에 보고할 당시 추산한 유출 규모는 1.7GB였다. 피해 규모가 당초 예측한 수치의 100배로 불어난 것으로 보인다. 롯데카드의 정보 보호 대응 능력에 대한 의문도 커지고 있다. 금융당국 관계자는 “오랫동안 전산망 투자를 안 한 게 눈에 띄었다”고 했다.

금융권에서는 이번 해킹 사태로 100만 명대의 개인정보가 유출됐을 것이라고 추산하고 있다. 개인정보 중에서도 카드 결제 핵심 정보인 ‘CVC’(카드 뒷면 3자리 숫자) 등이 유출됐을 수 있다는 우려도 나온다.

● CVC 등 카드 정보 유출 우려

17일 국회 정무위원회 소속 국민의힘 강민국 의원실이 금융감독원에서 받은 자료에 따르면 롯데카드 해킹 사고는 8월 14일 오후 7시 21분경 발생했다. 14, 15일 이틀에 걸쳐 온라인 결제 서버(WAS 서버)가 해킹됐다. 이 과정에서 내부 파일이 외부로 두 차례 반출됐다. 하지만 롯데카드가 사고를 인지한 시점은 8월 31일 정오 무렵이었다. 해킹 사고가 발생한 지 17일이나 지난 뒤에야 실태를 파악한 것이다.

롯데카드는 해킹 여부를 뒷북으로 인지한 것은 물론이고 유출된 데이터 규모까지 제대로 추산하지 못했다. 유출 데이터 중에서도 개인정보 유출 규모가 얼마나 될지가 중요할 것으로 보인다. 특히 카드 정보 등 온라인 결제 요청 내역이 유출됐을 가능성이 제기된다. 금감원 역시 강 의원실에 보고한 자료를 통해 “카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다”고 진단한 바 있다. 금융당국 관계자는 “온라인 결제 내역이 유출됐다면 CVC가 새어 나갔는지 여부가 핵심”이라고 설명했다. CVC가 유출되면 해외 부정 사용을 유발할 수 있어 피해가 더 클 수 있다.

● “MBK, 롯데카드 인수 후 보안 투자 소홀”

롯데카드가 이런 해킹 피해를 낳은 원인으로 정보 보호에 대한 투자 부족이 꼽힌다. 국회 정무위원회 소속 국민의힘 윤한홍 의원실이 금감원에서 받은 자료에 따르면 지난해 롯데카드가 네트워크 보안을 위해 지출한 정보 보호 투자액(인건비 포함)은 116억9000만 원이었다. 3년 전인 2021년에 비해 14.7%가 줄었다. 올 들어 상반기(1∼6월)까지 집행한 예산은 59억3000만 원으로, 연간 수치는 전년과 비슷한 수준일 것으로 추산된다.

이에 대해 롯데카드 관계자는 “2021년에는 자연재해, 전산 오류 등에 대응하기 위한 시스템을 구축하면서 예산이 일시적으로 급증한 것”이라며 “해당 연도를 제외하면 정보 보호 관련 예산은 꾸준히 늘었다”고 해명했다.

하지만 업계에선 최대주주인 사모펀드 MBK파트너스에 대한 책임론이 나온다. MBK파트너스가 수익 극대화에 골몰한 나머지 정보 보호 투자에 소홀했다는 얘기다. 이찬진 금감원장도 최근 여신전문금융업계 간담회에서 “금융권 사이버 침해 사고를 뼈아픈 자성의 계기로 삼아야 한다”며 “(해킹 사고가) 비용 절감을 통한 단기 실적에만 치중한 반면 정보 보안을 위한 장기 투자에는 소홀히 한 결과가 아닌지 뒤돌아봐야 한다”고 비판했다. 이를 두고 사실상 롯데카드와 MBK파트너스를 겨냥한 발언이라는 해석이 나왔다.

금융당국은 롯데카드 해킹 유출 사태 조사를 마무리한 뒤 18일 서울 종로구 정부서울청사에서 긴급 대책회의를 진행한다. 조좌진 롯데카드 대표이사는 이날 서울 중구 부영태평빌딩에서 고객 사과와 함께 사고 경위, 고객 보호 조치 등을 발표한다. 이와 관련해 롯데카드는 5만 원 미만 소액 결제 알림 문자 발송 등 다양한 대책을 검토하고 있다. 



강우석 기자 wskang@donga.com
신규진 기자 newjin@donga.com
주현우 기자 woojoo@donga.com