롯데카드가 외부 해킹 공격으로 인해 약 297만 명에 달하는 고객 정보가 유출된 것으로 확인되면서, 보안체계 전반에 대한 신뢰성 문제가 제기되고 있다. 유출 정보 중 일부는 카드번호와 유효기간 등 결제에 사용될 수 있는 민감한 정보로 밝혀졌고, 회사는 공식 사과와 함께 전면적인 대응에 나섰다.

해킹 사고는 실제로 8월 중순부터 시작된 것으로 알려졌다. 사건의 발단은 8월 26일 온라인 결제 서버에서 이상 징후가 탐지된 데서 비롯됐다. 회사 측은 8월 말 1.7GB 규모의 정보가 반출된 흔적을 발견하고 9월 초 금융감독원과 금융보안원에 관련 사항을 보고했으며, 이후 추가 조사를 통해 약 200GB에 달하는 방대한 고객 정보가 노출된 정황이 드러났다. 전체 피해 추정 인원은 약 297만 명으로, 롯데카드 전체 회원(약 960만 명)의 3분의 1에 해당하는 규모다.

유출 정보는 온라인 간편결제 시 생성되거나 수집되는 민감 데이터가 중심이다. 이름은 포함되지 않았지만, 주민등록번호, 카드번호, 유효기간, CVC번호(카드 뒷면 인증번호), 간편결제 서비스 관련 정보 등 다양한 항목이 포함됐다. 그중에서도 28만 명은 부정 결제에 사용될 수 있는 핵심 정보들이 유출된 고위험 고객으로 분류됐다. 특히 이들은 지난 7월 22일부터 8월 27일 사이 온라인 결제 서비스에 카드정보를 신규 등록한 이들로 확인됐다.

회사는 사고 수습을 위해 여러 대응책을 내놓았다. 우선 고위험 고객에 대해서는 카드 재발급을 최우선적으로 진행하고, 다음 해 연회비도 전액 면제하기로 했다. 아울러 유출 피해가 확인된 모든 고객들에게는 결제 금액과 상관없이 연말까지 10개월 무이자 할부 혜택이 제공된다. 롯데카드는 고객 피해가 발생할 경우 전액 보상 방침을 밝혔으며, 2차 피해로 이어질 경우에도 책임을 지겠다는 입장이다.

이와 함께 재발 방지를 위한 전사적인 보안 강화 조치도 병행된다. 조좌진 롯데카드 대표이사는 이번 사고를 계기로 향후 5년간 1천100억 원 규모의 정보보호 투자를 집행하겠다고 발표했다. 여기에는 자체 보안관제 체계 구축과 시스템 전면 개편이 포함된다. 또한 회사 고위 임원진 교체를 포함한 인적 쇄신이 연말까지 추진될 예정이다.

이번 해킹 사고는 금융사들의 디지털 전환이 가속화되는 가운데, 사이버 보안 투자와 내부 감시 체계의 중요성을 다시 한번 상기시키는 계기가 됐다. 전문가들은 온라인 결제와 간편결제 수요가 증가하는 상황에서 유사한 사고가 반복되지 않도록 정보보호 투자의 질적 수준과 시장 전반의 위험관리 체계를 강화해야 한다고 지적하고 있다. 이 같은 보안 강화 흐름은 향후 금융권 전반으로 확산될 가능성이 높다.