고개 숙인 조좌진 롯데카드 대표 “해킹 규모 297만명…전액 보상”

18일 오후 사이버 침해 사고 관련 언론 브리핑 진행 유출 규모 약 200GB…28만명 CVC번호도 털려 연말까지 무이자 10개월 할부·크레딧케어 무료 제공

2025-09-18     남빛하늘 기자
조좌진 롯데카드 대표가 18일 오후 서울 중구 부영태평빌딩 컨벤션홀에서 열린 사이버 침해 사고 관련 언론 브리핑에서 사과하고 있다.<남빛하늘>

[인사이트코리아 = 남빛하늘 기자] “고객 여러분의 소중한 정보를 관리하는 금융회사로서 보안 관리에 중대한 미흡과 부족함이 있었다는 것은 어떠한 이유로도 용서될 수 없는 일이다. 이로 인해 고객분들이 느끼신 불편과 심려에 다시 한번 깊이 사과드린다.”

조좌진 롯데카드 대표는 18일 오후 서울 중구 부영대평빌딩 컨벤션홀에서 열린 사이버 침해 사고 관련 언론 브리핑에서 이 같이 말하며 고개를 숙였다.

이날 조 대표는 대고객 사과를 비롯해 사고 경과, 고객정보 유출 내역, 고객 보호조치 등에 대해 직접 발표했다.

롯데카드가 사고 결과를 발표한 건 관련 조사가 시작된 지 약 보름 만이다. 앞서 회사는 이달 1일 일부 서버가 악성코드에 감염됐다고 금융당국에 신고했으며, 금융감독원은 다음날 금융보안원과 함께 현장검사에 착수한 바 있다.

297만명 고객정보 유출…28만명 부정 사용 가능성

조 대표는 “조사 과정에서 200기가바이트(GB) 분량의 데이터가 추가적으로 반출된 정황이 발견됐다”고 말했다. 당초 롯데카드가 금감원에 보고한 유출 데이터 규모(1.7GB)와 비교하면 117배가 넘는다.

이에 따라 고객정보가 유출된 회원은 약 297만명으로 확인됐다. 여신금융협회 공시에 따르면 올해 7월 말 기준 롯데카드 회원 수는 964만5000명으로, 전체의 30%가량이 피해를 당했다고 볼 수 있다.

조 대표는 “유출된 정보는 7월 22일과 8월 27일 사이 해당 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터”라고 설명했다. ▲CI(Connecting Information) ▲가상결제코드 ▲내부식별번호 ▲간편결제 서비스 등이다.

전체 유출 고객 가운데 유출된 고객정보로 카드 부정 사용까지 이어질 가능성이 있는 고객은 약 28만명이다. 유출된 정보는 온라인 신규 등록 시 필요한 ▲카드번호 ▲유효기간 ▲CVC번호(카드 뒷면 3자리 숫자) 등이다.

조좌진(왼쪽에서 다섯 번째) 롯데카드 대표를 비롯한 임원들이 18일 서울 중구 부영태평빌딩 컨벤션홀에서 열린 사이버 침해 사고 관련 언론 브리핑에서 고개를 숙이고 았다.<남빛하늘>

조 대표는 “다만 유출된 정보가 있다 하더라도 오프라인 결제의 경우 IC 및 마그네틱 실물카드 복제에 필요한 정보가 담겨있지 않아 복제 가능성은 없다”며 “결국 오프라인 결제에 부정 사용될 소지는 없고 ATM을 통한 카드론, 현금서비스도 사용이 불가하다”고 강조했다.

이어 “나머지 269만명의 경우에는 일부 항목만 제한적으로 유출돼 해당 정보만으로는 카드 부정 사용이 발생할 가능성이 없음을 확인했다”며 “이 때문에 카드 재발급을 별도로 할 필요는 없다”고 덧붙였다.

“고객 피로 제로화 최우선 과제”

롯데카드는 이번 사고로 인해 발생한 피해에 대해 회사가 책임지고 피해액 전액을 보상하겠다는 입장을 밝혔다. 조 대표는 “고객 피해 제로(Zero)화를 최우선 과제로 삼고 대표이사 주재로 전사적 비상대응체계를 가동하겠다”고 말했다.

피해 보상안도 마련했다. 우선 고객정보가 유출된 회원 전원에게 연말까지 금액과 관계없이 무이자 10개월 할부 서비스를 무료로 제공한다. 금융피해 보상 서비스인 ‘크레딧케어’와 ‘카드사용 알림서비스’도 무료로 제공할 계획이다.

아울러 최우선 재발급 대상이 되는 고객 28만명에게는 카드 재발급 시 차년도 연회비를 한도 없이 면제해주기로 했다. 기본 연회비를 2만원으로 단순 계산하면 최소 56억원 이상이 투입될 것으로 추정된다.

조좌진 롯데카드 대표가 18일 오후 서울 중구 부영태평빌딩 컨벤션홀에서 열린 사이버 침해 사고 관련 언론 브리핑에서 정보보안 운영 현황 및 투자 계획에 대해 설명하고 있다.<남빛하늘>

특히 롯데카드는 이번 사태를 단순 해킹 사건이나 보안 문제로만 보지 않고 경영 전반 메커니즘을 근본부터 혁신하는 계기로 삼겠다는 의지를 드러냈다.

조 대표는 “현재의 기능 중심적으로 구성된 조직을 고객 중심, 고객가치 중심, 고객보호 중심으로 대전환시키도록 할 것”이라며 “대표이사인 저를 포함해 대대적인 인적 쇄신을 연말까지 완료하겠다”고 전했다.

또한 향후 5년 간 1100억원의 투자를 집행해 전체 정보기술(IT) 예산 대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다는 계획이다. 2023년 기준 롯데카드의 IT 예산 대비 정보보호 예산 비중은 8%였다.

마지막으로 조 대표는 “앞으로 고객 피해를 제로화하고 고객분들의 불편을 최소화하는 임무가 롯데카드 대표이사로서 저의 마지막 책무라는 결연한 마음가짐으로 최선을 다할 것을 약속드린다”고 강조했다.