▲ 조좌진 롯데카드 대표이사가 18일 서울 부영태평빌딩 컨벤션홀에서 사이버 침해 사고에 대한 브리핑을 통해 발언하고 있다. 사진=이기봉 기자
▲ 조좌진 롯데카드 대표이사가 18일 서울 부영태평빌딩 컨벤션홀에서 사이버 침해 사고에 대한 브리핑을 통해 발언하고 있다. 사진=이기봉 기자
투데이코리아=이기봉 기자 | “이번 침해 사고로 인해 발생한 피해에 대해서는 어떠한 손실도 고객에게 전가하지 않겠다”
 
조좌진 롯데카드 대표는 18일 부영 태평빌딩에서 사이버 침해 관련 언론브리핑을 갖고 이번 사태에 대해 모든 책임을 지고 대대적인 인적쇄신을 하겠다고 밝혔다.
 
이번 해킹 사태는 롯데카드가 운영 중인 웹로직 서버에 대해 보안패치를 진행하던 도중 하나의 웹로직이 누락된 것에 기인한 것으로 추정된다.
 
해커는 누락된 웹로직으로 침투해 8월 14일부터 16일까지 서버 내 계정 정보를 수집하며 사전 준비 작업을 진행했고, 14일과 15일 양일에 거쳐 각각 하나의 압축파일을 외부로 유출한 것으로 조사됐다. 웹로직은 사용량이 없었던 해외 소규모 페이 서비스에 대한 것이었으며, 해커가 프록시 또는 터널링 기술을 활용해 통신을 숨기면서 활동을 했던 것으로 파악됐다.
 
이번 사태로 인해 정보가 유출된 롯데카드 총 회원 규모는 297만명이었으며, 카드 부정 사용으로 이어질 수 있는 고객은 28만명인 것으로 집계됐다.
 
조 대표는 “유출된 정보는 7월 22일부터 8월 27일 사이 온라인 서버를 통한 온라인 결제 과정에서 생성·수집된 데이터로, CI(Connecting Information)·가상결제코드·내부식별번호·간편결제 서비스 종류 등”이라며 “고객 전체의 성명은 유출되지 않았지만, 카드 부정 사용으로 이어질 가능성이 있는 고객은 28만명”이라고 말했다.
 
이어 “이들은 7월 22일부터 8월 27일 사이 새로운 페이 결제 서비스나 커머스 사이트의 사용 카드 정보를 신규로 등록하신 고객”이라며 “유출정보의 범위는 카드번호, 유효기간, CVC번호 등”이라고 설명했다.
 
다만 조 대표는 정보가 유출됐음에도 2차 본인 인증 절차 등이 필요하기 때문에 부정 사용 가능성은 적다고 언급했다.
 
그는 “정보가 유출되었다고 하더라도 오프라인 결제의 경우 IC 마그네틱 실물 카드 복제가 필요한 정보가 담겨 있지 않아 부정 사용될 소지는 없다”며 “온라인 결제에서도 SMS, 지문 인증 등 추가 본인 인증 절차가 필요하므로 유출된 정보만으로 부정사용이 어렵다”고 주장했다.
 
또한 “단말기에 카드정보를 직접 입력해 결제하는 방식인 키인(KEY IN) 거래는 부정사용 가능성이 존재하지만 현재까지 부정사용 사례는 확인되지 않았다”며 “나머지 269만명은 제한적으로 유출돼 카드 재발급을 별도로 할 필요는 없다”고 전했다.
 
특히 조 대표는 이번 해킹 사태에 롯데카드가 모든 책임을 지고 피해액 전액을 보상하겠다고 목소리를 높였다.
 
그는 “저희는 고객 피해 제로화를 최우선 과제로 삼고 전사적 비상대응체계를 가동하겠다”며 “정보가 유출된 297만명 고객 전원에게는 안내 메시지를 보내고 부정사용 가능성이 있는 28만명에 대해서는 재발급 안내 문자 추가 발송과 안내 전화도 병행해 ‘카드 재발급’이 이뤄지도록 하겠다”고 말했다.
 
이어 “해외 온라인 결제 시 기존 결제 이력이 없는 가맹점에서의 건은 전화 본인 확인 후에만 승인하고 국내 결제도 사전 사후 모니터링을 시행하고 있다”며 “고객이 손쉽게 보안조치를 할 수 있도록 롯데카드앱 상단에 관련 메뉴를 배치하고 24시간 상담센터의 인력을 확충해 신속히 상담받을 수 있도록 했다” 부연했다.
 
이외에도 조 대표는 피해 고객들에 대한 지원 방안도 발표했다.
 
구체적으로 연말까지 결제 금액과 상관없이 무이자 10개월 할부 서비스와 금융피해 보상 서비스인 ‘크레딧 케어’, 카드사용 알림서비스를 무료로 제공하며, 최우선 카드 재발급 대상이 되는 28만명에 대해서는 카드 재발급 시 차년도 연회비를 한도 없이 면제하는 내용이 담겼다.
▲ 조좌진 롯데카드 대표이사를 포함한 임원진들이 18일 서울 부영태평빌딩 컨벤션홀에서 사이버 침해 사고에 대한 브리핑에서 고개를 숙이며 사과하고 있다. 사진=이기봉 기자
▲ 조좌진 롯데카드 대표이사를 포함한 임원진들이 18일 서울 부영태평빌딩 컨벤션홀에서 사이버 침해 사고에 대한 브리핑에서 고개를 숙이며 사과하고 있다. 사진=이기봉 기자
 
아울러 조 대표는 사고 원인을 명확히 규명하고 정보보호 예산을 확대하는 등 경영 혁신에 나설 것을 강조했다.
 
그는 “이번 사태를 단순한 해킹 사건이나 보안 문제로 보지 않고 경영 전반의 매커니즘을 근본부터 혁신하는 계기로 삼고자 한다”며 “조직을 고객 보호 중심으로 대전환하고 저를 포함해 대대적인 인적쇄신을 연말까지 완료하겠다”고 역설했다.
 
또한 “향후 5년간 1100억원의 정보보호 관련 투자를 집행해 IT 예산 대비 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대하겠다”며 “자체 보안관제 체계 구축, 전담 레드팀 신설, 전사 IT 시스템 인프라를 정보보호 중심으로 개편하겠다”고 전했다.
 
그러면서 “대표이사로서 고객 피해를 제로화하고 불편을 최소화하는 임무가 마지막 책무라는 마음가짐으로 최선을 다할 것”이라며 “이번 일로 심려를 끼쳐드리게 된 점에 깊은 사과의 말씀을 드린다”고 고개를 숙였다.
▲ 조좌진 롯데카드 대표이사가 18일 서울 부영태평빌딩 컨벤션홀에서 사이버 침해 사고에 대한 브리핑에서 정보보호 관련 예산 투자에 관한 설명을 하고 있다. 사진=이기봉 기자
▲ 조좌진 롯데카드 대표이사가 18일 서울 부영태평빌딩 컨벤션홀에서 사이버 침해 사고에 대한 브리핑에서 정보보호 관련 예산 투자에 관한 설명을 하고 있다. 사진=이기봉 기자
한편, 조 대표는 이번 사태가 MBK파트너스에 인수된 이후 보안 관련 투자에 비용을 줄였다는 지적에 대해 아니라고 해명했다.
 
그는 “MBK파트너스가 롯데카드를 인수한 것이 2019년 10월이고 당시 인력 19명, 정보보호 투자 금액이 71억이었다”며 “2021년에는 DRM(문서암호화) 등 정보 보호와 관련해 137억을 투자하고 이후에도 투자를 지속적으로 확대하고 있다”고 말했다.
 
이어 “인력도 (2021년) 15명에서 (2025년) 30명으로 4년 사이에 2배 늘었다”면서도 “나름대로 화이트해커를 통해 모의 침투 테스트를 하고 직원들에게 스미싱 메일을 보내 신고하는 직원들에게 상도 지급하는 등 투자와 노력을 해왔다”고 설명했다.
 
그러면서도 “그 노력이 이번 침해 사태를 막을 만큼 충분했냐는 부분에 대해서 반성한다”며 “가장 큰 책임은 CEO인 제가 책임져야 한다”고 덧붙였다.

현장에서 작성된 기사입니다.
저작권자 © 투데이코리아 무단전재 및 재배포 금지