[롯데카드 사태] 10년 전 카드해지 대란보다 '심각'…297만명 고객 정보 유출

28만명, 카드 복제 가능한 CVC 등 정보 유출

고개 숙인 조좌진 대표 "인적 쇄신에 사임 포함" 

롯데카드 임원진이 고객 정보 유출이 사과하고 있다. [사진=연합뉴스]

960만명의 회원을 보유한 롯데카드에서 297만명의 고객정보가 유출되는 대규모 해킹 사고가 발생했다. 카드사는 피해 전액 보상을 약속했지만, 곧바로 2차 금전 피해로 이어질 수 있다는 점에서 파장이 크다. 특히 2014년 '카드해지 대란' 이후 10년간 보안 강화를 외쳤던 카드업계가 여전히 취약하다는 사실에 고객 불신은 깊어지고 있다.

18일 롯데카드에 따르면 이번에 유출된 정보는 지난 7월 22일부터 8월 27일 사이 온라인 결제 서버에서 생성·수집된 데이터다. 전체 피해자 297만명 가운데 28만명은 카드번호·유효기간·CVC번호(카드 뒷면 3자리)까지 포함돼 카드 재발급이 불가피하다. 나머지 269만명은 CI(연계정보), 가상결제코드 등만 유출돼 직접적인 부정사용 가능성은 낮다고 회사는 설명했다.

당초 롯데카드는 지난달 31일 온라인 결제 서버에서 1.7GB 분량의 데이터 반출 시도 흔적을 발견했다. 그러나 금융감독원·금융보안원 조사 과정에서 200GB에 달하는 추가 데이터 반출 정황이 드러났고, 결국 전날 일부 고객정보가 실제 유출된 사실을 최종확인했다.

문제는 정보 유출의 '질'이다. 지난 2014년 국민·롯데·NH농협카드에서 1억건이 넘는 개인정보가 새어나간 '카드대란' 때도 카드 비밀번호와 CVC는 끝내 지켜졌다. 당시 유출된 항목은 고객 이름, 주민등록번호, 집 주소, 신용등급 등 19개에 달했지만 결제 핵심정보는 보호됐다. 그러나 이번에는 결제의 최종 관문인 CVC마저 털리며 사태의 심각성이 더 커졌다.

해외 일부 온라인 가맹점은 카드번호·유효기간·비밀번호 앞자리 2개, CVC만 알면 결제가 가능하다. 국내에서도 홈쇼핑 ARS 등 일부 거래에서는 단순 카드 정보값만으로 결제가 이뤄진다. 단순 개인정보 유출을 넘어 실제 부정 사용으로 이어질 수 있는 위험이 존재한다는 의미다.

이번 사태는 단순 해킹을 넘어 경영 전반의 신뢰 문제로 비화할 가능성이 크다. 고개 숙인 조좌진 롯데카드 대표는 기자회견에서 "고객과 유관기관 여러분께 심려를 끼쳐 진심으로 죄송하다"며 "연말까지 대대적인 인적 쇄신을 포함해 조직을 고객 보호 중심으로 전환하겠다"고 밝혔다. 그는 특히 "대표이사로서의 마지막 책무라는 각오로 최선을 다하겠다"며 사실상 사임 가능성을 시사했다. 현재 조 대표의 공식 임기는 약 6개월 남아 있어, 금융당국 제재와 맞물려 조기 교체 가능성도 제기된다.