최근 해킹으로 내부 파일이 유출된 롯데카드가 정보가 유출된 총 회원 규모는 297만명이라고 18일 밝혔다.
조좌진 롯데카드 대표는 이날 오후 서울 중구 부영태평빌딩에서 기자회견을 열어 "유출된 정보는 오프라인 결제와는 전혀 무관하며, 7월 22일과 8월 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터로 한정된다"라며 이같이 말했다. 유출된 정보의 용량은 약 200GB(기가바이트)다.
세부 유출 항목은 CI(연계 정보), 주민등록번호, CVC, 가상 결제코드, 내부식별번호, 간편결제 서비스 종류 등이며, 개인별로 유출 항목에 차이가 있다고 롯데카드는 설명했다. 정보주체별 유출된 정보의 항목이 달라, 회원별 유출된 정보의 세부 항목은 당사 홈페이지 '개인신용정보 유출 여부 확인'에서 조회할 수 있도록 조치하고, 개별적으로 안내 메시지를 발송하고 있다는 입장이다.
유출된 고객의 대다수인 269만명의 경우 CI, 가상결제코드 등이 유출된 것으로 확인됐다. 다만 위 정보만으로는 카드 부정 사용이 불가능하며, 카드 재발급을 진행하지 않아도 된다고 회사는 설명했다. 28만명의 경우 국내에서 일반적인 결제 사용은 불가능하다는 입장이다. 일부 특수 결제 방식을 통한 부정 사용 가능성은 있으나, 현재까지 부정 사용 사례는 없는 것으로 확인됐다.
롯데카드는 이번 침해 사고로 발생한 피해에 대해서는 피해액 전액을 보상한다고 밝혔다. 또 고객 정보 유출로 인한 2차 피해에 대해서도 연관성이 확인된 경우 전액 보상하겠다고 설명했다.
롯데카드는 고객 정보가 유출된 297만 고객 전원에 대해서는 오늘부터 개별적으로 고객 정보 유출 안내 메시지를 전송한다. 부정 사용 가능성이 있는 고객 28만명에게는 재발급 안내 문자를 추가로 발송하고, 안내 전화도 병행하여 '카드 재발급' 조치가 최우선적으로 진행한다.
FDS(이상거래탐지시스템) 모니터링도 격상해서 시행한다는 입장이다. 롯데카드는 현재 해외 온라인 결제 시 기존 결제 이력이 없는 가맹점에서의 결제 건은 전화 본인 확인 후에만 승인하고 있으며, 국내 결제 또한 강화된 사전 사후 모니터링을 시행하여 부정 결제 가능성에 대비하고 있다.
이에 더해 롯데카드 애플리케이션(앱) 메인 화면 상단에 고객이 손쉽게 보안 조치를 할 수 있도록 카드 재발급, 해외결제 차단, 비밀번호 변경 관련 메뉴를 배치하고, 원활한 앱 이용을 위한 동시 접속 인원도 60만명까지 확대하여 운영할 계획이다. 또 침해 사고 전용 24시간 상담센터의 인력을 확충해 고객이 보다 신속하게 상담을 받을 수 있게 한다.
시스템 보안 강화 작업도 신속히 진행한다. 온라인 결제 시스템의 서버, 운영체제, 소프트웨어 환경을 전면 교체하여 보안 수준을 한층 강화하고, 주요 시스템 계정 접속 및 인증 체계 강화, 네트워크 보안 및 데이터 암호화 관리도 3개월 내 고도화를 완료할 계획이다.
또 피해 고객 전원에게 연말까지 금액과 관계없이 무이자 10개월 할부 서비스를 무료로 제공한다. 피싱, 해킹 등의 금융 사기 또는 사이버 협박에 의한 손해 발생 시 보상하는 금융 피해 보상 서비스인 크레딧케어도 연말까지 무료로 제공하며, 카드 사용 내역을 빠짐없이 실시간 확인할 수 있도록 카드사용 알림서비스도 연말까지 무료로 실시한다. 최우선 재발급 대상이 되는 고객 28만명에게는 카드 재발급 시 차년도 연회비를 한도 없이 면제한다.
롯데카드는 앞으로 5년간 1100억원의 정보보호 관련 투자를 집행함으로써 정보보호 예산 비율을 업계 최고 수준인 15%까지 확대할 계획이다. 이를 통해 자체 보안관제 체계를 구축해 24시간 실시간 통합보안 관제 체계를 강화하고, 전담 레드팀을 신설하여 해커의 침입을 가정한 예방 활동을 상시화한다. 현재의 전사 IT 시스템 인프라도 정보보호 중심으로 전면적으로 개편한다는 입장이다.