롯데카드 "해킹 사고로 297만명 고객정보 유출…200GB 분량"

2025-09-18 16:33:34 | 류준현 기자 | jhryu@mediapen.com

페이스북 트위터 카카오톡

프린트 가 + 가 -

"카드 부정사용 고객 28만명 추정…피해 발생 시 전액 보상"

[미디어펜=류준현 기자] 외부 해킹 공격으로 물의를 빚고 있는 롯데카드가 약 297만명의 고객정보 유출사고를 당했다고 밝혔다. 그 중 약 28만명에 달하는 고객정보는 실제 부정사용됐을 수 있다고 시사했다. 롯데카드는 이들에게 최우선적으로 카드를 재발급해주는 한편, 피해 발생 시 전액 보상할 것이라고 강조했다.

18일 금융권에 따르면 조좌진 롯데카드 대표는 이날 오후 서울 중구 부영태평빌딩에서 열린 기자회견에서 "고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다"고 밝혔다.


▲ 조좌진 롯데카드 대표이사가 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 마친 뒤 취재진 질문에 답변하고 있다. 2025.9.18/사진=연합뉴스 제공

카드업계 5위의 롯데카드는 약 960만명의 회원을 보유하고 있다. 롯데카드는 이번 해킹사고로 전체의 약 3분의 1에 가까운 회원 정보가 유출됐으며, 그 중 약 28만명에 달하는 고객정보는 실제 부정사용됐을 수 있음을 시사했다. 유출이 확인된 회원 정보는 온라인 결제 과정에서 생성·수집된 데이터로 △연계 정보(CI) △주민등록번호 △가상 결제코드 △내부 식별번호 △간편결제 서비스 종류 등이다.

조 대표는 "전체 유출 고객 중 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명"이라며 "유출 정보 범위는 카드번호, 유효기간, CVC번호 등"이라고 말했다. 28만명의 피해자는 단말기에 카드 정보를 직접 입력해 결제하는 키인(Key in) 거래 시 부정사용 가능성이 있는 것으로 나타났다.

이어 "해당 고객은 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드정보를 신규 등록한 고객"이라며 "카드 재발급 조치가 최우선적으로 이뤄지도록 하겠다"고 말했다.

또 조 대표는 "나머지 269만명은 일부 항목만 제한적으로 유출됐다"며 "해당 정보만으로 카드 부정사용이 발생할 가능성은 없다"고 말했다. 그러면서도 "정보 유출은 온라인 결제 서버에 국한해 발생했으며, 오프라인 결제와는 전혀 무관하다"며 "고객 성명도 유출되지 않았다"고 설명했다.

이와 함께 조 대표는 이날 피해 구제 방안에 대해서도 설명했는데, 전액 보상 방침을 밝혔다.

조 대표는 "이번 사고로 발생한 피해는 롯데카드가 책임지고 피해액 전액을 보상할 것"이라며 "2차 피해도 연관성이 확인되면 전액 보상하겠다"고 강조했다. 아울러 고객 정보가 유출된 고객 전원에게 연말까지 결제 금액과 관계 없이 무이자 10개월 할부 서비스를 무료 제공하기로 했다. 또 카드 재발급 대상인 28만명에게는 재발급 시 내년도 연회비를 한도 없이 면제하기로 했다.


▲ 조좌진 롯데카드 대표이사 등 관계자들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다. 2025.9.18/사진=연합뉴스 제공

아울러 이번 해킹 공격에 따른 데이터 유출규모는 약 200GB에 달하는 것으로 나타났다. 롯데카드는 지난 1일 해킹 공격을 당해 1.7GB 규모의 데이터가 유출됐다고 금융당국에 신고했다. 하지만 당국 조사 결과, 실제 유출 규모는 훨씬 큰 것으로 나타났다.

조 대표는 "8월 26일 온라인 결제 서버에서 외부 해커 침해 흔적을 발견했다"며 "31일 1.7GB 분량의 데이터 반출을 시도한 흔적을 발견했다"고 설명했다. 이어 "9월 2일부터 금융감독원과 금융보안원 현장 검사가 진행됐고, 200GB 분량의 데이터가 추가 반출된 정황을 발견했다"며 "어제 특정 고객의 일부 고객 정보가 유출된 사실을 최종 확인했다"고 전했다.

이에 롯데카드는 보안 조치를 한층 강화할 계획이다. 조 대표는 "고객 피해 제로화를 최우선 과제로 삼고 대표이사 주재로 전사적 비상대응체계를 가동하겠다"고 밝혔다. 특히 앞으로 5년 동안 1천100억원 규모의 정보보호 관련 투자를 집행, 자체 보안 관제 체계를 구축하기로 했다.

조 대표는 "대표이사인 저를 포함해 대대적인 인적 쇄신을 연말까지 완료하겠다"며 "고객 피해를 제로화하고 불편을 최소화하는 임무가 대표로서의 마지막 책무"라고 밝혔다.

한편 당국은 이날 오전 권대영 금융위 부위원장 주재로 롯데카드 정보유출 관련 대응방안을 논의했다. 정부는 △롯데카드의 실효성 있는 소비자 보호 조치 관리·감독 △원인규명에 따른 엄정한 일벌백계 △전 금융권 금융보안·정보보호 전면점검 및 근본적 제도개선 등을 강조했다.

권 부위원장은 "금융보안·정보보호는 금융회사의 작은 부주의 만으로도 막대한 소비자 피해를 초래할 수 있으며, 금융의 신뢰성을 흔들 수 있는 중대한 문제"라며 "소비자 민원에 대해서도 정확한 사실을 기반으로 대응요령을 친절히 안내해 소비자들이 안심하고 대처해 나갈 수 있도록 해달라"고 주문했다.

이어 "전 금융회사 CEO가 '보안'을 소비자 보호와 금융 신뢰성을 지키기 위한 가장 기본적이고 핵심적인 책무라는 확고한 인식을 가져야한다"며 "보안투자를 비용이나 가외업무로 인식하는 안이한 태도가 심각한 사태를 초래할 수 있는 만큼, CEO 책임하에 전산 시스템 및 정보보호체계 전반을 전면 재점검해 주시고, 불가피한 침해 발생시에도 즉시 시스템 복구 및 소비자 피해 구제가 이뤄지는 만반의 태세를 갖춰달라"고 주문했다.

또 "금감원·금보원은 이러한 금융사의 점검결과를 면밀히 살피고 관리·감독해 침해사고가 재발하지 않도록 노력해달라"고 당부했다.

[미디어펜=류준현 기자] ▶다른기사보기