롯데카드에서 발생한 해킹 사고의 피해 범위가 당초 알려진 것보다 훨씬 큰 것으로 드러났다. 고객 정보가 대규모로 유출됐을 가능성이 제기되면서 피해자 수가 수십만 명에서 최대 수백만 명에 이를 수 있다는 전망까지 나오고 있다.
17일 금융당국과 카드업계에 따르면 롯데카드는 금융감독원과 함께 해킹 사고 관련 조사 작업을 마무리하고, 18일 피해 규모와 보상 대책을 공식 발표한다. 조좌진 롯데카드 대표가 직접 나서 사고 경위를 설명하고 대국민 사과를 할 예정이다.
롯데카드는 애초 금융당국에 약 1.7기가바이트(GB) 분량의 데이터 유출을 보고했지만, 현장 검사 결과 실제 피해는 이보다 훨씬 큰 것으로 확인됐다. 롯데카드 관계자도 “유출 규모가 예상보다 커졌다”며 “확인된 즉시 고객 보호 대책을 내놓겠다”고 말했다.
피해 고객 수 역시 초기 추산치인 수만 명을 크게 웃돌 것으로 보인다. 업계에서는 유출된 데이터 범위에 따라 피해자가 백만 명 단위로 늘어날 가능성이 있다고 본다. 금감원은 국회 보고에서 “온라인 결제 요청 내역에 카드 정보 등이 포함된 것으로 보인다”고 밝힌 바 있다. 실제 해킹은 지난달 14~15일 이틀간 온라인 결제 서버를 겨냥해 이뤄졌고, 더 장기간의 결제 데이터가 빠져나갔을 가능성도 제기된다.
롯데카드는 고객 카드 교체, 연회비 환불 등 실질적인 보상 조치 외에도 추가 혜택을 제공할지 논의 중이다. 앞서 SK텔레콤은 이용자 해킹 피해 당시 한 달간 T멤버십 제휴사 할인 혜택을 제공한 바 있다.
이번 사태의 배경에는 롯데카드의 최대주주인 MBK파트너스가 있다는 지적도 제기된다. MBK가 수익성에 치중하면서 보안 투자에 소홀했다는 비판이다. 특히 롯데카드가 사용하던 결제관리 서버는 10년 전 취약점이 발견돼 업계 대부분이 보안 패치를 적용했음에도, 롯데카드는 이를 방치한 것으로 전해졌다. 최초 해킹 이후 17일이 지나서야 사태를 인지한 점도 논란을 키웠다.
한편, MBK파트너스는 ‘홈플러스 사태’와 관련해 금융당국 조사와 검찰 수사를 동시에 받고 있어 관리 부실 논란은 더욱 확산될 것으로 보인다.
