[뉴스스페이스=김문균 기자] 롯데카드가 2025년 8월 발생한 대규모 해킹 사태로 인해 전체 회원 960만명 중 약 3분의 1에 달하는 297만명의 개인정보가 유출된 것으로 확인되었다. 이 가운데 약 28만명은 카드번호, 유효기간, CVC 번호까지 해킹당해 부정 결제 위험에 노출된 것으로 보인다.
이에 조좌진 롯데카드 대표는 9월 18일 대국민 사과문을 발표하고, 문제의 심각성을 인정하며 “본인을 포함한 임원진 사임을 포함한 인적 쇄신을 연말까지 단행하겠다”고 밝혔다.
해킹 경위와 피해 규모
해킹은 지난 8월 14일 온라인 결제 서버(WAS 서버)를 통해 발생했으며, 원래 알려진 유출 데이터 용량은 1.7GB였으나 금융감독원과 보안당국의 조사 결과 약 200GB 분량의 데이터가 유출된 것으로 드러났다. 유출된 개인정보는 주민등록번호, 카드번호, 유효기간, 카드 뒷면 3자리 카드보안코드(CVC), 내부식별번호, 가상 결제코드, 간편결제 서비스 연계 정보 등이 포함되어 있다. 특히 7월 22일부터 8월 27일 사이에 신규 등록된 결제 정보가 대거 유출된 점이 부정결제 위험을 높이고 있다.
부정 사용 가능성과 대응책
롯데카드 측은 부정 결제 가능성은 있으나 현재까지 피해 사례는 발견되지 않았으며, 대부분 실물카드를 소지한 상태에서 이뤄지는 ‘키인(Key-in)’ 결제 방식에서만 부정 결제가 가능하다고 설명했다. 키인 거래가 가능한 가맹점은 전체 330만곳 중 0.15%에 불과해 부정 사용 리스크는 제한적이라는 입장이다.
피해 가능성이 있는 28만명 고객에 대해서는 내년 연회비를 전면 면제하며, 피해 발생 시 전액 보상하겠다고 롯데카드는 밝혔다. 아울러 해킹 발생 후 금액과 무관한 무이자 할부 서비스 10개월 제공도 약속했다.
조좌진 대표의 인적쇄신 선언
조좌진 대표는 이번 사건을 단순 정보 보안 문제로 치부하지 않고 롯데카드 경영 전반의 근본적 쇄신 계기로 삼겠다고 밝혔다. 연말까지 고강도 인적 쇄신과 조직 개편을 진행해 고객 중심 조직으로 재편하겠으며, 자신 또한 대표직에서 물러날 가능성을 열어두었다. 또 향후 5년간 1100억원 규모의 대규모 정보보호 투자 계획도 동시에 발표했다.
금융당국 및 시장 반응
금융당국은 이번 사고와 관련해 롯데카드에 엄중한 책임을 묻고 징벌적 과징금 도입 등 강도 높은 후속 조치 방안을 검토 중이다. 국내 카드업계 5위 규모인 롯데카드의 이번 사고는 카드사들의 보안체계 전반을 재점검하는 계기가 되고 있다.
카드업계 관계자는 "교묘한 해킹 수법과 정보 유출 규모, 그리고 개인정보 보호 강화 필요성이 다시한번 재확인 된 계기"라며 "이번 사태가 향후 정보보호 기준 강화 및 고객 신뢰 구축의 중요성을 부각시키는 전환점이 될 것으로 보고 있다"고 강조했다.
