점검결과, 3개 서버에서 2종의 악성코드와 5종의 웹셀을 발견 즉시 삭제 조치
다른 데이터베이스로의 악성코드 전이나 추가적인 감염은 현재까지 없는 상황

롯데카드가 조좌진 대표(왼쪽 5번째)를 비롯해 주요 임원들이 18일 서울 부영태평 빌딩에서 열린 언론브리핑에서 이같은 내용을 담은 이번 온라인 해킹 사건에 대한 사과문과 동시에 사고 경위와 피해사례 여부, 고객 보호조치 방안 등을 소상히 설명했다. 사진=비즈월드 박제성 기자
롯데카드가 조좌진 대표(왼쪽 5번째)를 비롯해 주요 임원들이 18일 서울 부영태평 빌딩에서 열린 언론브리핑에서 이같은 내용을 담은 이번 온라인 해킹 사건에 대한 사과문과 동시에 사고 경위와 피해사례 여부, 고객 보호조치 방안 등을 소상히 설명했다. 사진=비즈월드 박제성 기자

[비즈월드] "아직까지 실질적인 고객 금액손실 피해건수는 없지만, 심려끼쳐드려서 진심으로 죄송하다. 재발방지와 고객 보호조치에 만전을 다하겠다."

조좌진 롯데카드 대표가 18일 서울 부영태평 빌딩에서 열린 언론브리핑에서 이같은 내용을 담은 이번 온라인 해킹 사건에 대한 사과문과 동시에 사고 경위와 피해사례 여부, 고객 보호조치 방안 등을 소상히 설명했다.

조 대표는 “고객 피해를 제로화 하기 위해 오늘 이 자리를 마련했다”며 “이번 사건은 지난 8월 26일 자사 온라인 결제 서버에서 외부 해커로부터 침해 흔적이 발견됐다”고 말문을 열었다.

현재까지 점검결과, 3개 서버에서 2종의 악성코드와 5종의 웹셀을 발견해 롯데카드는 즉시 삭제 조치했다.

또 조 대표는 다른 데이터베이스(DB)로의 악성코드 전이나 추가적인 악성 감염은 현재까지 없는 상황이라고 언급했다.

이후 8월31일 낮 12시 쯤, 온라인 결제 서버에서 해커가 1.7GB 분량의 데이터 반출을 시도했던 흔적을 발견됐다.

현재까지 이와 관련해 정밀조사 결과, 고객정보 유출은 아직까지 확인되지 않았다.

다음 날 1일 오전 10시경, 금융당국에 침해 사고 내역을 보고했다. 동월 2일 금융감독원과 금융보안원의 현장 검사를 진행한 결과, 200GB 분량의 데이터가 추가적으로 반출된 정황이 발견됐다.

이후 관계 기관과 정밀 분석을 진행한 결과 지난 17일 특정 고객의 일부 정보가 유출된 사실을 최종적으로 확인했다고 조 대표는 전했다.

롯데카드에 따르면 현재까지 고객정보가 유출된 총 회원수는 297만명이다.

이번 정보 유출은 오프라인 결제 서버가 아닌 온라인 결제 서버에 국한해 발생했다.

유출 정보로는 ▲CI(연계정보) ▲가상결제코드 ▲내부식별번호 ▲간편결제 서비스 종류 등을 확인됐다.

특히 유출된 고객정보로 카드 부정사용으로 이어질 가능성이 있는 고객은 28만명으로 확인했다고 롯데카드는 설명했다.

해당 28만명은 지난 7월22일에서 8월 27일까지 기간동안 신규 페이결제 서비스나 커머스 사이트에 사용 카드 정보를 새로 등록한 고객들이다.

조 대표는 “유출된 정보범위는 온라인 신규 등록 때 필요한 카드번호, 유효기간, CVC번호 등만 포함된다”고 설명했다.

이는 유출된 정보가 있더라도 오프라인 결제의 경우, IC칩·마그네틱이 삽입된 실물카드 복제에 필요한 정보가 담겨있지 않아 복제 가능성은 없다는 것이다.

이로 인해 ATM을 통한 카드론, 현금서비스도 사용이 불가하다.

조 대표는 “온라인 결제가 발생하기 위해서는 SMS인증, 지문 인증 등 추가적인 본인 인증 절차가 필요하기 때문에 사실상 부정사용은 불가능하다”고 말했다.

이어 “다만 단말기에 카드정보를 직접 입력해 결제하는 방식인 키인(KEY IN) 거래의 경우에는 부정사용 가능성은 배제할 순 없다”고 덧붙였다.

이에 따라 고객이 카드 재발급을 할 필요는 없지만 불안이 해소하고 싶은 고객은 재발급, 비밀번호 변경, 해외 거래 차단 등을 신청 할 수 있다.

◆ 고객 대응방안으로 '전액보상·보안 수준 고도화' 체계 구축

롯데카드가 조좌진 대표(왼쪽 5번째)를 비롯해 주요 임원들이 18일 서울 부영태평 빌딩에서 열린 언론브리핑에서 이같은 내용을 담은 이번 온라인 해킹 사건에 대한 사과문과 동시에 사고 경위와 피해사례 여부, 고객 보호조치 방안 등을 소상히 설명했다. 사진=비즈월드 박제성 기자
롯데카드가 조좌진 대표(왼쪽 5번째)를 비롯해 주요 임원들이 18일 서울 부영태평 빌딩에서 열린 언론브리핑에서 이같은 내용을 담은 이번 온라인 해킹 사건에 대한 사과문과 동시에 사고 경위와 피해사례 여부, 고객 보호조치 방안 등을 소상히 설명했다. 사진=비즈월드 박제성 기자

조 대표는 고객 보호조치를 위한 대응책으로는 가장 먼저 피해가 만약 발생될 경우 전액 보상을 약속했다.

또 대표 주재하에 전사적 비상대응체계에 대한 가동에 들어간 상태다.

297만명 고객 전원에게 18일부터 개별적으로 고객정보 유출 안내 메시지를 보내는 중이다.

아울러 이상거래탐지시스템(FDS) 모니터링을 한층 더 고도화해 시행할 방침이다.

해외 온라인 결제 때에도 기존 결제 이력이 없는 가맹점에서의 결제 건은 고객 전화로 본인 인증 확인 후에만 승인한다.

침해사고 전용 24시간 상담센터를 가동하기 위해 인력도 확충해 신속한 상담도 가능하다.

특히 보안 수준을 강화하기 위해 네트워크 보안과 데이터 암호화 관리도 3개월 안으로 고도화를 완료할 방침이다.

유출된 고객 모두에게는 올해까지 금액과 관계없이 무이자 10개월 할부 서비스도 무료로 지원한다.

피싱·해킹 등의 금융사기 피해 등으로 고객 피해금이 발생할 경우 전액 보상 서비스인 ‘크레딧케어’도 제공된다.

앞으로 5년동안 정보보호 관련 투자도 1100억원을 늘려 업계 최고 수준으로 확대할 방침이다.

[비즈월드=박제성 기자 / pjs84@bizwnews.com]

관련기사

키워드

#비즈월드 #조좌진 #롯데카드 #대표 #해킹 #피해 #발생 #때 #전액보상보안인프라 #고도화
저작권자 © 비즈월드 무단전재 및 재배포 금지