롯데카드, 뒤늦은 해킹 사고 파악 이유는?

롯데카드가 해킹 사고로 발생한 대규모 개인정보 유출 사태와 관련해 사과했다. 롯데카드는 취약점이 있었다는 점을 인정하면서도 해커들이 일반적이지 않은 수법을 사용해 피해 규모 파악이 지연됐다고 해명했다.

조좌진 롯데카드 대표는 18일 서울 중구 부영태평빌딩에서 열린 기자회견에서 “외부 해킹 공격으로 총 297만 명의 개인정보가 유출됐다”며 사과했다. 

이 가운데 약 28만 명은 카드번호, 비밀번호 앞 두 자리, CVC, 유효기간 등 핵심 카드정보까지 노출돼 부정 사용 등 2차 피해 위험에 노출된 것으로 파악됐다. 

피해 고객은 주로 7월 22일부터 8월 27일 사이 신규 결제 서비스나 커머스 사이트에 카드를 등록한 이용자로 확인됐다.

앞서 롯데카드는 지난달 31일 온라인 결제 서버에서 외부 침입 흔적을 처음 발견하고 금융당국에 신고했다. 

당시 1.7GB 규모의 데이터 유출로 발표했으나, 조사 결과 실제 피해는 200GB로 드러났다. 해킹은 지난달 14일부터 진행됐지만 회사가 이를 인지한 것은 월말이었다.

조 대표는 “실제로 해커가 처음 당사 내부 침해 시도한 이후 발견하기까지 시간이 걸렸다”며 “변명의 여지로 들릴 수 있지만, 일반적인 침해행위랑 다른 수법을 활용했다”고 말했다. 

해커가 프록시와 터널링 기법을 활용해 정상 통신과 구분하기 어려운 방식으로 침투했다는게 롯데카드 측의 설명이다.

또 개인정보 유출 규모 파악이 늦어진 것에 대해서도 “해커가 서버 안에 있는 파일을 압축해 가지고 나갔는데, 압축한 파일을 교묘하게 다 지워버려 어떤 정보가 유출됐는지 확인할 수 없었다”고 말했다. 

해커들은 아주 짧은 공격들을 계속적으로 이어가며 작은 파일들을 조금씩 가져가는 방식을 취했다. 암호화된 파일들을 풀고 고객 정보별로 어떤 특정 정보가 유출됐는지 매칭시키는 작업들이 상당 시간 소요됐다고 전했다.  

사태 발생 후 24시간 동안 작업을 돌렸고 전날(17일) 오후 18시에 마무리 됐다고 밝혔다.  

조 대표는 “잘못된 정보를 서둘러 알리는 것보다 사실을 검증해 전달하는 것이 우선이라고 판단했다”며 “다만 이는 금융사가 발생하는 피해에 대해 모두 책임진다는 전제가 있어야한다”고 강조했다.

MBK파트너스 인수 이후 보안 투자가 부족했다는 지적에 대해 조 대표는 수치를 근거로 반박했다. 

그는 “2019년 인수 당시 정보보호 인력은 19명, 투자 규모는 71억 원 수준이었으나 현재는 인력 30명, 투자비 128억 원으로 확대됐다”고 해명했다. 

그러면서 “투자와 노력을 나름대로 해 왔다고 생각하지만 그런 노력이 이번 침해 사태를 막을 만큼 충분했냐고 묻는다면 반성의 여지가 남는다”며 “결국 최고경영자(CEO)인 제가 책임을 져야 한다고 생각하고 있다”고 덧붙였다.

정보보호 관련 투자도 확대한다. 향후 5년간 1100억원의 투자를 집행해 정보보호 예산 비중을 업계 최고 수준인 15%까지 늘린다는 계획이다. 이는 IT 예산 대비 7% 정도는 정보보호 예산안으로 써라라는 금융권 가이드라인보다 높은 수준이다. 

조 대표는 “충분한 투자와 인력 투입을 통해 3년 내 금융권 내에서 정보보호 쪽에서 가장 탁월한 회사로 만들 것”이라고 전했다. 

한편 롯데카드는 이번 사고로 발생한 피해를 제로화하는데 집중한다는 방침이다. 

우선 고객 정보가 유출 된 고객에 대해선 재발급 및 비밀번호 변경 유도 문자와 전화 안내를 이날부터 진행할 예정이다. 이미 카드부정사용 가능한 28만 명 중에서 5만 5000명에 대해 카드 재발급이나 사용정지 또는 회원 탈회가 완료돼  리스크가 없어졌다.

또 피해 구제 방안으로 전액 보상방침을 밝혔다. 이밖에 고객 정보가 유출된 고객 전원에게 연말까지 결제 금액과 관계 없이 무이자 10개월 할부 서비스를 무료로 제공하기로 했다.

아울러 카드 재발급 대상인 28만명에게는 재발급 시 다음 해 연회비를 한도 없이 면제하기로 했다.