“카드 CVC까지 새나갔다”… 롯데카드, 1·2차 피해 전액 보상 천명
“카드 CVC까지 새나갔다”… 롯데카드, 1·2차 피해 전액 보상 천명
요약 및 목차
핵심|대규모 침해 사실 공개 후 롯데카드가 직·간접 피해 전액 보상을 공식화했다. 유출 규모는 약 297만 명, 이 중 28만 명은 카드 부정사용 위험 고객으로 분류됐다.
- 사태 개요와 회사의 첫 메시지
- 보상·보안대책·법적 쟁점
1) 사태 개요와 회사의 첫 메시지
서울 중구에서 열린 기자간담회에서 조좌진 롯데카드 대표가 공식 사과했다. 초기에는 1.7GB 반출로 신고됐지만, 정밀 분석 과정에서 200GB 수준의 추가 유출 정황이 드러나면서 파장이 커졌다. 회사 추산으로 전체 회원 약 960만 명 가운데 297만 명의 데이터가 외부로 흘러나간 것으로 확인됐다.
유출 항목은 단순 식별정보를 넘어 온라인 결제 과정에서 생성된 연계정보(CI)·주민등록번호·가상결제코드·내부 식별값·간편결제 종류 등으로 확장됐다. 특히 일부 고객의 경우 카드번호·유효기간·CVC까지 포함돼 해외 무서명 결제 환경에서 악용될 위험성이 제기됐다.
회사는 위험군으로 분류된 약 28만 명을 대상으로 우선 재발급을 진행하고, 나머지 269만 명에 대해서는 제한적 항목 유출로 단독 부정사용 가능성은 낮다고 설명했다. 아울러 피해 고객 전원에게 연말까지 10개월 무이자 할부 특례를 제공하겠다고 밝혔다.
2) 보상·보안대책·법적 쟁점
보상 원칙은 명확하다. 회사는 “이번 사건으로 발생한 금전 피해는 전액 보상하고, 연관성이 확인되는 2차 피해도 모두 책임지겠다”고 못 박았다. 다만 실제 보상 절차에서는 피해 입증 범위와 인과관계 판단이 핵심 쟁점이 될 전망이다.
보안 측면에서는 네트워크 구간에 ASM(애플리케이션 보안 관리)를 도입하고 웹 방화벽 등 기존 장비를 전면 재점검하기로 했다. 24시간 관제 체계를 통해 비정상 트래픽을 상시 탐지하겠다는 계획도 내놨다. 내부적으로는 “초기 안내의 빈틈이 신뢰 하락을 키웠다”는 평가가 나온다.
법적 대응의 온도도 올라간다. 이미 온라인에는 집단소송 커뮤니티가 개설돼 가입자가 빠르게 늘고 있다. 2014년 카드 3사 대형 유출 사건 당시 인당 10만 원 배상 판결이 선례로 거론되지만, 이번 사안은 구체적 피해 발생 여부에 따라 소송 성립 난이도가 달라질 수 있다.
당국 제재 가능성도 상당하다. 최근 정부는 반복적 보안 사고에 대해 징벌적 과징금 등 강력 조치를 예고했다. 현행 여신전문금융업법 시행령에 따라 개인정보 유출이 신용질서를 해칠 경우 최대 6개월 영업정지까지 가능하다. 금융당국은 웹서버 관리·악성코드 방지 등 전반을 들여다보며 전체 카드사 보안 실태 점검에 착수했다.
소비자 유의사항으로는 해외결제 차단, 사용처 알림 강화, 한도 일시 조정, 카드 재발급 신청 등이 권고된다. “비밀번호 앞두 자리+유효기간+CVC만으로 결제가 되는 해외 무서명 가맹점”이 여전히 존재한다는 점을 감안하면, 알림 한 번이 사고를 막는 안전벨트가 될 수 있다.
에디터 코멘트
이번 사태는 “속도와 투명성”이 신뢰 회복의 최소 조건임을 다시 보여줬다. 보상 선언은 출발점일 뿐이다. 유출 데이터의 수명은 길고, 범죄자들은 시간을 편들지 않는다. 기술·조직·고객 커뮤니케이션을 동시에 강화하지 않으면, 같은 파도는 형태만 바꿔 다시 밀려온다.