조좌진 롯데카드 대표이사(오른쪽)가 18일 고객 정보 유출사태에 대해 사과하고 있다. [뉴스1]

사모펀드 MBK파트너스가 최대주주인 롯데카드에서 해킹 사고로 297만 명의 고객정보가 유출됐다. 이 중 28만 명은 카드 번호와 CVC 번호(카드 뒷면 3자리), 주민등록번호 등 민감한 정보까지 빠져나가 2차 피해가 우려된다.

조좌진 롯데카드 대표는 18일 기자회견에서 “책임을 통감하며 진심으로 죄송하다”며 이같이 밝혔다. 이번 금융감독원과 금융정보원의 조사 과정에서 해킹 공격으로 200기가바이트(GB)의 정보가 유출된 사실이 확인되면서다. 롯데카드가 지난 1일 당국에 신고한 유출 데이터(1.7GB)의 100배 이상이다.

차준홍 기자

유출된 정보엔 296만9000명의 개인 신용정보가 포함됐다. 전체 롯데카드 개인 고객(964만5000명)의 약 30%에 해당한다. 이 가운데 유출된 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 28만 명으로 추려졌다. 지난 7월 22일부터 8월 27일까지 네이버페이·삼성페이 등 간편결제 서비스나 온라인 쇼핑몰에 카드 정보를 신규 등록한 이용자다. 해킹 공격으로 이들의 카드 번호, 비밀번호(2자리)와 CVC 번호는 물론 주민등록번호, 생년월일 등의 개인정보가 빠져나갔다.

조 대표는 “단말기에 카드 정보를 직접 입력하는 키인(KEY-IN) 거래의 경우 부정 사용 가능성이 있다”며 “다만 현재까지 실제 피해는 확인되지 않았다”고 말했다. 나머지 269만 명은 제한적인 카드 정보만 유출돼 부정 사용 가능성은 거의 없다고 그는 덧붙였다.

롯데카드는 18일부터 유출 대상자 297만 명에게 개별 안내 문자를 발송하고 있다. 특히 부정 사용 우려가 있는 28만 명에게는 신속히 카드 재발급을 받을 수 있도록 문자와 전화로 안내 중이다.

개인정보 유출 여부는 롯데카드 홈페이지와 고객센터(xxxx-xxxx)에서도 확인할 수 있다.

조 대표는 “이번 사고로 발생한 피해에 대해서는 롯데카드가 책임지고 피해액 전액을 보상할 것”이라고 말했다. 또 정보가 유출된 고객 대상으로 연말까지 무이자 10개월 할부 서비스를 제공한다. 카드 재발급 대상인 28만 명에겐 내년도 연회비를 면제해 준다. 조 대표는 연말께 사퇴 가능성을 내비치며 인적 쇄신도 약속했다.

이날 금융당국은 긴급대책 회의를 열고 “위규 사항을 낱낱이 파악해 일벌백계 원칙하 엄정히 제재하겠다”고 했다. 중대한 보안사고 발생 시 징벌적 과징금을 도입하는 방식의 제도 개선도 예고했다.

한편 이날 나이스신용평가는 해킹 사고로 롯데카드가 최대 800억원의 과징금을 부과받을 수 있다고 예상했다. 제재 수위와 회원 수 추이를 보고 신용도에도 이를 반영하겠다고 했다.