사모펀드 MBK파트너스가 최대주주인 롯데카드에서 해킹 사고로 297만 명의 고객 정보가 유출된 것으로 18일 확인됐다. 이 중 28만 명은 카드 번호와 CVC 번호(카드 뒷면 3자리), 주민등록번호 등 민감한 신용정보까지 빠져나가 2차 피해가 우려된다.

조좌진 롯데카드 대표이사(오른쪽)가 18일 서울 중구 부영태평빌딩 컨벤션홀에서 열린 언론 브리핑에서 롯데카드 대규모 해킹 사고 관련 대국민 사과를 하고 있다. 2025.9.18/뉴스1

조좌진 롯데카드 대표는 이날 오후 서울 중구 부영태평빌딩에서 기자회견을 열고 “고객들께 큰 불안과 심려를 끼친 점에 대해 책임을 통감하며 진심으로 죄송하다”며 이같이 밝혔다. 이번 금융감독원과 금융정보원의 조사 과정에서 해킹 공격으로 200기가바이트(GB)의 정보가 유출된 사실이 확인되면서다. 롯데카드가 1일 당국에 신고한 유출 데이터(1.7GB)의 100배 이상이었다. 유출된 정보에는 296만9000명의 개인 신용정보가 포함된 것으로 파악됐다. 전체 롯데카드 개인 고객(964만5000명)의 약 30%에 해당한다.

차준홍 기자

이 가운데 유출된 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 28만 명으로 추려졌다. 지난 7월 22일부터 8월 27일까지 네이버페이·삼성페이 등 간편결제 서비스나 온라인 쇼핑몰에 카드 정보를 신규 등록한 이용자들이다. 해킹 공격으로 이들의 카드 번호와 CVC 번호는 물론 주민등록번호, 생년월일 등의 개인 정보가 유출된 것으로 확인됐다.

조 대표는 “단말기에 카드 정보를 직접 입력하는 키인(KEY-IN) 거래의 경우 부정 사용 가능성이 있다”며 “다만 현재까지 실제 피해는 확인되지 않았다”고 말했다. 나머지 269만 명은 제한적인 카드 정보만 유출돼 부정 사용 가능성은 거의 없다고 그는 덧붙였다.

롯데카드는 고객 보호를 위해 18일부터 유출 대상자 297만 명에게 개별 안내 문자를 발송하고 있다. 특히 부정 사용 우려가 있는 28만 명에게는 신속히 카드 재발급을 받을 수 있도록 문자와 전화로 안내 중이다. 개인 정보 유출 여부는 롯데카드 홈페이지와 고객센터(xxxx-xxxx)에서도 확인할 수 있다.

롯데카드는 이번 해킹 사태에 따른 피해액은 전액 보상할 계획이다. 조 대표는 “이번 사고로 발생한 피해에 대해서는 롯데카드가 책임지고 피해액 전액을 보상할 것”이라며 “고객 정보 유출로 인한 2차 피해에 대해서도 연관성이 확인되면 전액 보상하겠다”고 말했다. 보상안도 내놨다. 고객 정보가 유출된 고객 대상으로 연말까지 무이자 10개월 할부 서비스가 제공된다. 카드 재발급 대상인 28만 명에겐 내년도 연회비를 면제해준다.

이날 조 대표는 연말께 사퇴 가능성을 내비치며 인적 쇄신을 약속했다. 하지만 금융당국의 강도 높은 제재는 불가피할 전망이다. 이날 긴급대책 회의를 연 금융당국은 “정보 보호와 전산 보안 등 관련 위규 사항을 낱낱이 파악해 일벌백계 원칙 하 엄정히 제재하겠다”고 강조하고 있어서다. 또 해킹 사고 재발 방지를 위해 중대한 보안사고 발생 시 징벌적 과징금을 도입하는 방식의 제도 개선도 예고했다.

한편 나이스신용평가는 이날 보고서에서 해킹 사고로 롯데카드가 최대 800억원 과징금을 부과받을 수 있다고 전망했다. 그러면서 제재 수위와 회원 수 추이를 보고 신용도에 이를 반영하겠다고 했다.