[뉴스토마토 유영진 기자] 조좌진 롯데카드 대표이사는 최근 발생한 대규모 해킹 사건과 관련해 피해금 전액을 보상하기로 약속했습니다. 연말까지 본인을 포함해 대대적인 인적쇄신에도 나서기로 했습니다. 매각을 통해 새 주인을 찾으려던 롯데카드의 계획도 틀어졌습니다. 정부와 금융당국은 해킹 사태에 엄중한 처벌을 예고한 만큼 롯데카드에 막대한 제재를 내릴 전망입니다.
롯데카드 회원 중 30% 유출
(그래픽=뉴스토마토)
조 대표는 18일 오후 1시30분 부영태평빌딩 1층 컨벤션홀에서 대고객 사과 및 사고 경위, 고객 보호 조치 등의 내용으로 언론 브리핑을 진행했습니다. 조 대표는 "이번 침해 사고의 대응 과정을 투명하게 공개함으로써 고객들의 염려와 불편을 최소화하겠다"면서 "고객 피해를 최소화하기 위해 100% 피해 보상을 하겠다"고 전했습니다. 이어 "저를 포함해 시장에서 납득할 만한 대대적인 인적쇄신을 연말까지 완료하겠다"고 밝혔습니다.
롯데카드가 이날 발표한 해킹 피해 규모는 약 200GB(기가바이트)로, 유출 피해자는 약 297만명입니다. 당초 알려진 1.7GB보다 120배 큰 규모입니다. 롯데카드는 줄곧 1.7GB 이외에 고객 정보는 유출된 바 없다고 강조해왔지만, 2주간 정밀 검사 끝에 피해 규모가 밝혀졌습니다.
297만명 중 28만명은 카드 부정 사용으로 이어질 가능성이 있는 고객으로 분류됐습니다. 7월22일부터 8월27일 사이 새로운 페이 결제 서비스나 커머스 사이트에 사용 카드 정보를 신규로 등록한 고객이 해당합니다. 유출 정보 범위는 온라인 신규 등록 시 필요한 카드번호, 유효기간, CVC번호 등이 포함됩니다. 다만 롯데카드는 온라인 결제 시 실제 결제가 일어나기 위해서는 SMS 인증, 지문 인증 등 추가 본인 인증 절차가 필요하기 때문에 유출된 정보만으로는 부정 사용이 어렵다고 선그었습니다.
롯데카드는 지난 1일 외부 해커의 침입 정황을 확인하고 금감원에 보고했습니다. 실제 최초 유출은 지난달 14일에 발생한 것으로 드러나면서 무려 17일이 지난 뒤에야 해킹 사실을 인지했다는 점에서 논란이 커졌습니다. 금감원은 지난 2일 금융보안원과 함께 롯데카드 현장 검사에 착수했으며, 19일까지 1차 조사를 마무리할 계획입니다. 이후 법 위반 여부를 검토하고 과징금 등 제재 수위를 정하기 위한 2차 검사에 나설 예정입니다.
금융당국 관계자는 "예상보다 피해 규모가 큰 것으로 나타났다"며 "금융소비자 피해가 발생하지 않도록 사실관계를 밝히고, 최대한 빠르게 조치를 취할 것"이라고 전했습니다.
롯데카드는 향후 정보가 유출된 고객을 대상으로 안내 메시지와 전화를 병행해 신속히 카드 재발급을 진행하기로 했습니다. 또한 이상거래탐지시스템(FDS) 모니터링을 강화해 해외 결제를 차단하고, 침해사고 전담 24시간 상담센터 인력을 확대할 예정입니다. 연말까지 금액과 상관없이 무이자 10개월 할부를 제공하고, 금융 피해 보상 서비스인 ‘크레딧케어’와 카드 사용 알림 서비스를 무료로 지원할 방침입니다.
조 대표는 "향후 5년간 1100억원의 정보보호 관련 투자를 집행함으로써 IT 예산 대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다"고 강조했습니다.
조좌진 롯데카드 대표이사가 18일 오후 1시30분 부영태평빌딩 1층 컨벤션홀에서 해킹 사고 경위, 고객 보호 조치 등 내용으로 대고객 사과를 진행하고 있다. (사진=뉴시스)
MBK, 롯데카드 매각 난항
조 대표는 2020년 3월 롯데카드 대표이사로 취임한 이후 'LOCA 시리즈'를 앞세워 회원 수를 확보하고 수익성을 끌어올렸습니다. 실적 개선을 주도하면서 2020년부터 세 차례 연임에도 성공했습니다. 하지만 사상 초유의 해킹 사태가 터지면서 4연임 행보에 제동이 걸렸고, 11년 전 악몽이 재현되고 있습니다.
롯데카드는 2014년에도 대규모 개인정보 유출 사태로 3개월 영업정지 처분을 받았습니다. 2010년과 2013년 두 차례에 걸쳐 신용카드 회원과 탈회 회원의 신용정보, 가맹점 정보 등이 각각 1023만건, 2688만건 유출됐습니다. 소비자들은 롯데카드를 상대로 집단 소송을 걸었고, 대법원은 2019년 롯데카드가 개인정보 유출 피해 소송 참여자들에게 위자료 10만원씩 지급하라고 판결했습니다.
2014년 당시 박상훈 사장을 비롯한 롯데카드 경영진 9명이 도의적 책임을 지고 일괄 사의를 표명했습니다. 박 사장은 2009년 2월부터 6년 동안 대표직을 맡아왔지만, 임기를 채우지 못한 채 롯데그룹 내 최초 '불명예 사퇴' 꼬리표를 얻었습니다. 사태 수습을 위해 사퇴가 반려됐는데, 금감원은 같은 해 10월 박 전 사장에게 '해임 권고'라는 중징계를 내렸습니다.
롯데카드는 현재 사모펀드인 MBK파트너스가 대주주로 있습니다. 2022년 1차 엑시트에 실패한 이후 계속해서 매각을 시도해왔습니다. 그러나 이번 해킹 사태로 롯데카드 매각은 더욱 어렵게 됐습니다.
이런 가운데 정부와 금융당국은 근래 들어 통신사와 금융사에서 해킹 사태가 잇따르자 엄중 처벌을 예고했습니다. 이재명 대통령은 "최근 통신사, 금융사에서 해킹 사고가 잇따르고 있어 국민이 매우 불안해한다"며 "보안 사고를 반복하는 기업들에 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 관련 조치를 신속히 준비하라"고 지시했습니다.
이찬진 금융감독원장도 지난 16일 여신전문금융사 최고경영자(CEO) 간담회에서 "전 국민의 정보를 다루는 카드업권은 정보보호에 깊은 경각심을 가져야 한다"며 "CEO가 장기적인 시각에서 금융소비자의 정보보호를 직접 챙겨달라"고 당부했습니다. 조좌진 대표 역시 이번 롯데카드 해킹 사태로 강력한 제재를 받을 수 있다는 전망이 나오고 있습니다.
여신업계 관계자는 "정부에서 해킹 사고에 엄중히 처벌하겠다고 밝힌 만큼 강력한 과징금을 물 수 있을 것"이라며 "CEO도 책임에서 벗어나기 어려울 것"이라고 말했습니다.
조좌진 롯데카드 대표이사 외 롯데카드 임원진이 18일 부영태평빌딩 1층 컨벤션홀에서 해킹 사고 관련 대고객 사과를 하는 모습. (사진=뉴스토마토)
유영진 기자 ryuyoungjin1532@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김의중 금융부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지