지이코노미 강매화 기자 | 롯데카드가 대규모 해킹 공격을 받아 약 297만명의 고객정보가 유출되는 사태가 발생했다. 이 가운데 28만명은 카드번호·유효기간·CVC까지 유출돼 해외 가맹점에서 부정사용이 가능할 정도로 피해 우려가 커졌다.

롯데카드는 18일 긴급 브리핑을 열고 “대표이사 직속 비상대응 체계를 가동해 고객 피해 제로화를 최우선으로 하겠다”고 밝혔다. 조좌진 대표는 “피해를 고객에게 전가하지 않겠다”며 전액 보상을 약속했다.

이번 사고는 지난달 웹로직 서버 취약점을 해커가 파고들며 시작됐다. 해커는 웹셸을 심고 1.7GB의 압축파일을 유출한 뒤, 보안파일전송프로토콜(SFTP)로 200GB 규모 로그파일을 빼돌린 것으로 드러났다. 롯데카드는 지난달 26일 악성코드를 탐지했지만, 피해 규모 확인까지는 3주가 소요됐다.

롯데카드는 피해 고객 전원에게 거래 알림 서비스와 금융피해 보상 서비스를 연말까지 무상 제공하고, 유출 정보가 심각한 28만명에 대해서는 카드 재발급 시 연회비를 전액 면제하기로 했다. 또한 전원에게 무이자 10개월 할부와 ‘크레딧케어’ 서비스도 지원한다.

재발 방지를 위해 조직 개편과 함께 향후 5년간 1,100억 원을 보안 예산에 투입하고, 24시간 관제·레드팀 운영·서버 교체 등 보안 고도화 작업에 착수한다는 계획도 내놨다.

한편, 롯데카드는 최근 ISMS-P 인증을 획득한 지 한 달 만에 사고가 터지면서 인증 제도의 실효성 논란까지 불거지고 있다. 금융권 전반에 걸쳐 보안 체계 전반을 재점검해야 한다는 목소리가 높아지고 있다.