조좌진 롯데카드 대표 "해킹계기로 연말까지 인적쇄신…사임 포함"(종합)

해킹 사고로 297만명 고객정보 유출…200GB 분량
"28만명 카드번호·CVC번호 등 유출…재발급 조치"

조좌진 롯데카드 대표는 회원 960만명 중 297만명의 고객정보가 유출된 해킹 사고와 관련 "저와 임원진의 사임을 포함해 연말까지 시장에서 납득할 만한 수준의 인적 쇄신을 하겠다"고 18일 밝혔다.

피해고객 297만명…28만명은 부정사용 가능성 有

조좌진 롯데카드 대표이사가 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대한 사과문을 발표하고 있다. 문채석 기자

조 대표는 이날 오후 서울 중구 부영태평빌딩에서 기자회견을 열고 "고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다"며 이같이 밝혔다.

이날 롯데카드는 유출 확인된 회원 정보는 온라인 결제 과정에서 생성·수집된 데이터로 연계 정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류 등이라고 설명했다. 전체 피해 고객은 297만명으로 확인됐다고 알렸다. 카드 부정 사용 발생 가능성이 있는 고객은 28만명 수준이다.

조 대표는 "유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 28만명"이라며 "유출 정보 범위는 카드번호, 유효기간, CVC(카드 고유확인번호) 등"이라고 말했다. 이들 28만명 고객은 단말기에 카드 정보를 직접 입력해 결제하는 '키인(Key in)' 거래 시 부정사용 가능성이 있다고 조 대표는 설명했다.

그는 "해당 고객은 지난 7월22일에서 지난달 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드정보를 신규 등록한 고객"이라며 "카드 재발급 조치가 최우선으로 이뤄지도록 하겠다"고 했다.

조 대표는 "나머지 269만명은 일부 항목만 제한적으로 유출됐다"며 "해당 정보만으로 카드 부정사용이 발생할 가능성은 없다"고 설명했다. 이어 "정보 유출은 온라인 결제 서버에 국한해 발생했고, 오프라인 결제와는 무관하다"며 "고객 성명도 유출되지 않았다"고 덧붙였다.

전액 보상 방침…'늑장 대처' 비판 면치 못할 듯

조좌진 롯데카드 대표이사(왼쪽 다섯번째) 등 관계자들이 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과하고 있다. 문채석 기자

조 대표는 피해 고객에 대한 전액 보상 방침을 세웠다고 강조했다. 그는 "사고로 발생한 피해는 롯데카드가 책임지고 피해액 전액 보상할 것"이라며 "2차 피해도 연관성이 확인되면 전액 보상하겠다"고 말했다.

2차 피해가 무엇인지에 대해서는 "예를 들어 유출된 전화번호로 휴대폰을 개통해 소액 결제를 했을 경우를 생각해볼 수 있다"며 "이번 유출 사고가 원인이 돼 그런 일(2차 피해)이 발생하면 그런 부분들까지도 보상해야 한다고 생각한다"고 했다.

고객 정보가 새어 나간 고객 전원에게는 연말까지 결제 금액과 관계없이 무이자 10개월 할부 서비스를 무료 제공하기로 했다. 카드 재발급 대상인 28만명에게는 재발급 시 다음 해 연회비를 한도 없이 면제하기로 했다.

또한 전날 오후 6시 기준 28만명 중 5만5000명에 대해서는 카드 재발급, 사용 정비, 회원 탈퇴 조치를 해 부정 사용 리스크 가능성을 제거했다.

롯데카드는 지난 1일 금융당국에 해킹 피해를 신고하며 데이터 유출 규모를 1.7GB로 보고했으나, 조사 결과 실제 유출량은 약 200GB에 달하는 것으로 확인됐다. 실제 해킹은 지난달 14일 발생했지만 회사가 이를 인지하고 조사를 시작한 것은 그달 말이었다. 초기 대응이 늦고 피해 규모도 제대로 파악하지 못했다는 비판이 제기되는 이유다.

조 대표는 "지난달 26일 온라인 결제 서버에서 외부 해커 침해 흔적을, 31일 1.7GB 분량의 데이터 반출을 시도한 흔적을 발견했다"며 "이달 2일부터 금융감독원과 금융보안원 현장 검사가 진행됐고 200GB 분량의 데이터가 추가 반출된 정황을 파악했다"고 설명했다. 이어 "전날 특정 고객의 일부 고객 정보가 유출된 사실을 최종 확인했다"고 덧붙였다.

연말까지 인적 쇄신 약속…사임도 시사

조좌진 롯데카드 대표가 18일 서울 중구 부영태평빌딩에서 '정보보호 운영 현황 및 투자 계획'에 대해 설명하고 있다. 문채석 기자

조 대표는 대표이사 주재 전사적 비상대응체계를 가동하고 보안 조치를 강화하겠다고 밝혔다. 앞으로 5년간 1100억원 규모의 정보보호 관련 투자를 집행해 자체 보안 관제 체계를 구축하기로 했다.

인적 쇄신과 조직 개편도 단행키로 했다. 기능 중심으로 구성된 조직을 고객, 고객가치, 고객보호 중심으로 대전환시키겠다고 선언했다.

연말 사임 가능성도 내비쳤다. 그의 임기는 내년 3월29일까지다. 조 대표는 "대표이사인 저를 포함해 대대적인 인적 쇄신을 연말까지 완료하겠다"며 "고객 피해를 제로화하고 불편을 최소화하는 임무가 대표로서의 마지막 책무"라고 강조했다.

금융당국의 영업정지 조치, 과징금 부과 등 기관제재와 문책경고 이상의 대표이사 중징계 부과 가능성에 대해서는 "지금은 제재를 생각할 상황도 아니고 생각해 본 적도 없다"며 "피해 수습부터 할 것"이라고 했다.

문채석 기자 chaeso@asiae.co.kr
최동현 기자 nell@asiae.co.kr