롯데카드 해킹 피해 규모 확대... 대국민 사과 예고, MBK 책임론도 불거져
960만여 명의 회원을 둔 롯데카드 해킹 사고가 당초 예상보다 훨씬 큰 피해로 이어진 것으로 드러나 파장이 확산되고 있습니다.
피해자가 수십만에서 수백만 명에 이를 수 있다는 관측이 나오는 가운데, 조좌진 롯데카드 대표가 대국민 사과와 함께 구체적 보상 방안을 발표할 예정입니다. 최대주주인 사모펀드 MBK파트너스를 둘러싼 책임론도 불가피해 보입니다.
피해 범위 예상보다 커... 금감원 "카드 결제 내역 포함"
지난 17일 금융당국은 롯데카드 해킹 사고와 관련해 정보 유출 범위와 피해 규모 확인 작업을 마무리했습니다.
롯데카드는 애초 금융감독원에 1.7GB 분량의 데이터 유출을 보고했으나, 롯데카드와 금융감독원, 금융보안원 등이 지난달 발생한 롯데카드 해킹 사고를 조사한 결과 200GB에 달하는 데이터가 유출된 것으로 파악했습니다. 최초 보고보다 약 120배 높은 수치입니다.
지난 4월 국내를 떠뜰썩하게 했던 한 기업의 개인 정보 유충량이 9.82기가바이트였던 점과 비교해도 상상을 초월하는 수준입니다.
유출된 정보의 상당 부분이 아주 민감한 개인정보로 추정되는 상황입니다. 카드 결제 핵심 정보인 카드 뒷면 3자리 숫자, CVC도 일부 포함된 것으로 알려집니다.
강민국 국민의힘 의원실에 따르면 금감원은 "카드 정보뿐 아니라 온라인 결제 요청 내역이 포함된 것으로 보인다"고 밝혔습니다. 특히 롯데카드가 해킹 사실을 인지한 시점은 지난 8월 31일이었지만, 실제 유출은 그보다 앞선 8월 14~15일 두 차례에 걸쳐 발생했고 16일까지 추가 시도가 이어진 것으로 드러났습니다.
금융당국 관계자는 "현재 유출된 정보만으로는 추가 본인 인증 절차 없이 결제가 쉽지 않은 것으로 파악된다"며 "아직 부정 사용 사례는 보고되지 않았지만 최고 수준의 경계감을 유지하고 있다"고 설명했습니다.
조좌진 롯데카드 대표, 18일 보상안 발표
조좌진 대표는 18일 서울 중구 부영태평빌딩에서 대국민 사과문을 발표하고 사고 경위 및 보상안을 공개합니다.
앞서 지난 4일에도 조 대표는 "발생한 피해는 전액 보상하겠다"고 밝힌 바 있으며, 이번에는 탈퇴 회원 대상 연회비 무차감 환불 등 구체적 대책이 거론됩니다.
조 대표는 사태 수습에 집중하기 위해 전날 금융감독원이 마련한 카드·캐피털사 대표 간담회에도 불참했습니다.
당시 이찬진 금감원장은 "사이버 침해 사고는 단 한 번도 용납될 수 없다"며 "이번 사태를 뼈아픈 자성의 계기로 삼아 보안 인프라를 근본적으로 재점검해야 한다"고 강조했습니다.
'대주주' MBK파트너스 책임론 확산
사태의 여파는 롯데카드의 최대주주 MBK파트너스로까지 번지고 있습니다. 금융권 안팎에서는 MBK가 매각 과정에서 수익 극대화에 치중한 나머지 보안 투자에는 소홀했던 것 아니냐는 지적이 나옵니다.
MBK는 2019년 약 1조 3800억원에 롯데카드 지분 80%를 인수한 뒤 2022년에는 3조원에 매각을 추진했으나 실패했습니다.
이후 지난 5월에는 희망 매각가를 2조원으로 낮췄지만 여전히 원매자를 찾지 못한 상태입니다. 게다가 MBK는 '홈플러스 사태'와 관련해 이미 금융당국의 조사와 검찰 수사를 동시에 받고 있어, 이번 롯데카드 사태가 그룹 전반의 리스크로 이어질 가능성도 제기됩니다.