“미국은 1800억 물어냈다는데”… 297만 명 ‘탈탈’ 털린 롯데카드, 피해보상안 봤더니

국내 5위권 카드사 정보 유출 충격
조 대표 사임과 인적쇄신 약속
전액 보상 및 무이자 혜택 제공

롯데카드가 외부 해킹으로 인한 대규모 개인정보 유출 사태에 직면했다. 업계 5위권 카드사의 고객 정보가 대거 유출되면서 금융 보안의 취약성이 도마 위에 올랐다.

금융당국은 무관용 원칙을 강조하며 제재 가능성을 시사했고, 회사 측은 피해 보상과 재발 방지책 마련에 나섰다.

카드 부정사용 가능성과 보상 방안

조좌진 롯데카드 대표는 18일 서울 중구에서 기자회견을 열고 “고객 여러분과 유관 기관에 심려를 끼쳐 진심으로 죄송하다”고 사과하며 자신의 사임을 포함한 인적쇄신과 보안 강화 계획을 발표했다.

외부 해킹 공격으로 롯데카드 전체 고객의 약 3분의 1에 해당하는 297만 명의 개인정보가 유출됐다. 유출된 정보는 연계 정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류 등이다.

특히 28만 명은 카드번호, 유효기간, CVC번호까지 함께 유출돼 부정사용 가능성이 있는 것으로 확인됐다.

이들은 7월 22일부터 8월 27일 사이 새 페이결제 서비스나 커머스 사이트에 카드정보를 등록한 고객들이다. 롯데카드는 이들에게 우선적으로 카드 재발급 조치를 진행 중이다.

롯데카드는 이번 사고로 발생한 피해액 전액을 보상하겠다고 약속했다. 정보가 유출된 고객 전원에게는 연말까지 결제 금액과 관계없이 무이자 10개월 할부 서비스를 무료로 제공하며, 카드 재발급 대상 고객에게는 다음 해 연회비를 전액 면제하기로 했다.

미국의 대응 사례… 국제 공조로 해커 검거

이 같은 대규모 카드 정보 유출 사고는 해외에서도 발생한 바 있다. 미국에서는 2008년 TJ 맥스와 반즈앤노블 등 9개 대형 소매점의 컴퓨터가 해킹돼 4,100만 건의 개인 신용카드 정보가 유출됐다.

당시 미 법무부는 미국, 에스토니아, 우크라이나, 중국, 벨로루시 등 다양한 국적의 11명으로 구성된 국제적 사기조직을 검거했다.

이들은 ‘워 드라이빙’이라는 수법으로 무선인터넷망 보안 취약점을 찾아 개인 신용정보를 빼내고, 가짜 카드를 제작해 현금을 인출했다.

피해가 가장 컸던 TJ 맥스는 피해자들에게 법적 보상금 등으로 1억 3천만 달러(약 1,812억 원)를 지출했고, 이듬해까지 2,300만 달러(약 320억 원)의 추가지출이 예상됐다.

미국은 2006년부터 개인신용정보 도용을 막기 위해 17개 부처가 참여한 태스크포스를 운영하며 대응 체계를 강화해 왔다.

최대 800억 원 과징금 가능성… 회원 이탈 우려

한편 금융당국은 이번 사고에 대한 제재 검토에 착수했다. 나이스신용평가에 따르면 롯데카드는 최대 800억 원의 과징금을 부과받을 수 있다. 정보통신망법은 고객정보 유출 시 매출액의 최대 3%까지 과태료 부과를 허용하고 있다.

지난해 롯데카드의 총 영업수익 약 2조 7천억 원을 기준으로 할 때, 이는 당기순이익(1,354억 원)의 20~60% 수준이다.

롯데카드는 앞으로 5년 동안 1,100억 원 규모의 정보보호 관련 투자를 집행해 자체 보안 관제 체계를 구축하기로 했다. 이는 IT예산 대비 정보보호 예산을 현행 10%에서 15%까지 늘리는 조치다.

신용평가사는 특히 이번 사태가 중장기적으로 실질 회원 수 감소로 이어질지 여부가 관건이라고 지적했다.

롯데카드는 MBK파트너스가 최대 주주가 된 이후 공격적 마케팅으로 회원 수를 늘려왔으나, 이번 사고로 회원 이탈이 우려되는 상황이다.