롯데카드 해킹 피해 ‘일파만파’…오늘 고객 보호·보상안 발표

데이터 유출→“규모 훨씬 커” 변화
피해자 수백만 명 달할 것으로 추산
카드번호·CVC 등 유출 가능성도

김진호 기자 rplkim@busan.com ｜ 2025-09-18 10:45:11

가

서울 종로구 롯데카드 본사 모습. 연합뉴스

회원 960만여 명을 보유한 롯데카드의 ‘해킹 사고’ 피해 규모가 예상보다 훨씬 큰 것으로 알려지면서 파장이 커지고 있다. 피해자가 수백만 명에 달할 것이란 관측이 나오는 가운데 카드 번호나 CVC 등이 유출됐을 가능성까지 제기되고 있다.

18일 롯데카드는 이날 오후 조좌진 대표가 직접 사고 경위를 설명하고 대국민 사과와 고객 보호 조치를 발표한다.

당초 롯데카드가 금감원에 보고한 유출 데이터 규모는 1.7기가바이트(GB) 수준이었지만, 금융당국 현장 검사 등을 통해 파악된 피해 규모는 예상보다 훨씬 심각한 수준인 것으로 알려졌다.

피해자 규모도 당초 예상처럼 수만 명 수준에 그치지 않을 것으로 보인다. 유출된 정보의 경중은 다를 수 있지만, 전체 피해자 규모가 수백만 명 단위에 이를 것이란 관측도 나온다.

금융감독원은 국회 강민국 의원실에 보고한 자료에 “카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다”며 고객정보 유출 가능성을 염두에 둬왔다. 지난달 14∼15일 온라인 결제 서버 해킹이 이뤄져 내부 파일이 유출됐고, 카드 정보 등이 결제 요청 내역에 포함됐을 수 있다는 추정이었다.

카드번호와 유효기간, CVC 등 민감한 신용정보까지 유출됐을 가능성도 거론된다. 애초 이틀간의 결제 내역이 외부로 유출된 것으로 알려졌지만, 대규모 데이터가 유출된 정황에 비춰 더 장기간의 결제 내역이 빠져나갔을 것이란 추측도 나온다.

전날 조 대표는 해킹사고 수습이 우선이라는 판단에 이찬진 금감원장과 업계 상견례 성격의 간담회에도 불참 통보했다. 이 원장은 연일 ‘소비자 보호’를 최우선 과제로 제시하는 가운데 전날 간담회에서도 “최근 금융권 사이버 침해사고를 뼈아픈 자성의 계기로 삼아야 할 것”이라고 지적했다.

롯데카드가 이번 결과 브리핑에 카드 교체 등 실질적인 조치 이외에 고객 보상 방안까지 담을지 주목된다. 일단 탈퇴 회원 대상 연회비 무차감 환불 등이 거론된다. SK텔레콤은 이용자 해킹 피해 후속 조치로 한 달간 T멤버십 제휴사 할인 등 혜택을 제공했다.

이재명 대통령도 “최근 통신사, 금융사에서 해킹 사고가 잇따르고 있어 국민이 매우 불안해 하신다”며 “보안 사고를 반복하는 기업들에 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 관련 조치를 신속히 준비하라”고 지시했다.

롯데카드의 최대 주주가 사모펀드 MBK파트너스라는 점도 업계에서 주시하는 부분이다. 롯데카드를 인수한 MBK파트너스가 수익 극대화에 치중하면서 보안 투자를 제대로 하지 않았다는 지적이 계속되고 있다. 롯데카드가 사용해온 결제관리 서버는 약 10년 전 취약점이 발견돼 대부분 금융사가 보안 패치를 설치한 것인데 롯데카드는 이를 적용하지 않아 해킹 공격에 그대로 노출된 것으로 전해졌다. 또 최초 해킹 공격을 당한 뒤 17일이 지난 지난달 31일 정오께 사태를 인지한 사실도 드러났다.