“롯데 계열사에 근무하는 동료의 법인카드도 해킹돼 재발급을 받았다.”(30대 직장인 나모 씨)
“뉴스와 문자메시지로 정보 유출 여부를 확인했는데, 처음엔 ‘일부 유출’이라고 떴다가 며칠 뒤엔 카드번호, 생년월일, CVC(카드 뒷면에 적힌 세 자리 보안 숫자)까지 유출된 것으로 나왔다. 어디까지 해킹됐는지 롯데카드도 정확히 모르는 것 같아 불안하다.”(롯데카드 개인정보유출 관련 온라인 커뮤니티 게시 글)
SK텔레콤과 KT에 이어 롯데카드에서도 해킹사고가 발생했다. 유출된 데이터 규모만 약 200GB(기가바이트), 피해 고객은 297만 명에 달한다. 이 중 28만 명은 카드번호, 비밀번호 2자리, CVC 등 결제 핵심 정보까지 노출된 것으로 알려졌다. 롯데카드는 2014년에도 대규모 개인정보유출 사고를 겪은 전력이 있다. 이후 MBK파트너스가 인수했지만 정보보호 투자에 소홀했다는 비판을 피할 수 없게 됐다. 롯데카드는 9월 24일 “현재까지 이번 사이버 침해 사고에 따른 부정 사용 시도나 실제 소비자 피해 사례는 단 한 건도 확인되지 않았다”고 밝혔다.
롯데카드가 밝힌 해킹 경위를 종합하면 해커는 8월 12일 온라인 결제 서버에 침입해 다음 날 악성코드(웹 셸)를 설치했다. 이후 8월 14일 최초로 데이터를 반출했다. 롯데카드는 8월 26일이 돼서야 악성코드 감염을 인지했고, 닷새 뒤인 31일 데이터 유출 정황을 파악했다. 금융감독원에 신고한 시점은 그다음 날이었다. 해커가 고객 정보를 탈취하고 2주가 지나서야 유출 사실을 인지한 셈이다.
롯데카드는 해커의 수법이 교묘했다고 해명했다. 조좌진 롯데카드 대표이사는 “아주 짧은 공격을 계속하며 작은 파일을 하나씩 가져가는 방식이었다”고 밝혔다.
롯데카드는 2014년에도 개인정보유출 사고를 겪었다. KB국민카드, NH농협카드, 롯데카드에서 총 1억 건 넘는 고객 개인정보가 외부로 빠져나간 것이다. 신용평가사 직원이 전산망 접근 권한을 악용해 개인정보를 무단 복사한 것이 원인이었다. 당시 피해 규모는 업계 사상 최대 수준으로 롯데카드는 3개월 영업정지 처분을 받았다.
문제는 이후에도 재발 방지를 위한 정보보호 투자에 적극 나서지 않았다는 점이다. 특히 롯데카드는 2019년 MBK에 인수된 이후 정보보호 예산 비중이 지속적으로 줄었다. 금융감독원이 국회에 제출한 자료에 따르면 △2020년 14.2%(100억9700만 원) △2021년 11.3%(88억8300만 원) △2022년 9.8%(98억5800만 원) △2023년 8.6%(99억1400만 원) △2024년 8.4%(122억4500만 원) △2025년 9.0%(96억5600만 원)였다.
MBK는 최근 해킹 사태와 관련해 “보안투자를 소홀히 한 바 없다”고 해명하며 향후 5년간 1100억 원을 정보보호에 투자하겠다고 밝혔다. 그러나 MBK는 2019년부터 2024년까지 6년간 롯데카드에서 배당금 2011억 원을 받았다. 이는 예정 투자금의 2배에 달한다. 또한 MBK는 2022년과 2024년 두 차례 롯데카드 매각을 시도했으며, 현재도 UBS를 매각 주관사로 선정해 2조~3조 원대 몸값으로 재매각을 추진하고 있다.
보안컨설턴트인 이형택 이노티움 대표는 “롯데카드의 보안투자는 기업 규모에 비해 적은 편”이라며 “대기업도 보안 강화를 ‘여름에 물조심하라’는 식의 형식적인 조언쯤으로 넘기는 경우가 많다”고 지적했다. “정보 보안에 소홀하다 사고가 터지면 ‘창사 이래 최대 위기’라는 말만 되풀이한다”는 것이다. 또한 그는 사이버 보안 대응 주체가 여러 기관에 흩어져 있는 것도 문제점으로 꼽았다. 이 대표는 “현재는 한국인터넷진흥원(KISA), 국가정보원, 경찰 등이 각기 대응하고 있어 AI 기반의 정교한 해킹 수법에 효과적으로 대처하지 못한다”며 “통합된 사이버 보안 컨트롤타워가 필요하다”고 강조했다.
*유튜브와 포털에서 각각 ‘매거진동아’와 ‘투벤저스’를 검색해 팔로잉하시면 기사 외에도 동영상 등 다채로운 투자 정보를 만나보실 수 있습니다.
“뉴스와 문자메시지로 정보 유출 여부를 확인했는데, 처음엔 ‘일부 유출’이라고 떴다가 며칠 뒤엔 카드번호, 생년월일, CVC(카드 뒷면에 적힌 세 자리 보안 숫자)까지 유출된 것으로 나왔다. 어디까지 해킹됐는지 롯데카드도 정확히 모르는 것 같아 불안하다.”(롯데카드 개인정보유출 관련 온라인 커뮤니티 게시 글)
SK텔레콤과 KT에 이어 롯데카드에서도 해킹사고가 발생했다. 유출된 데이터 규모만 약 200GB(기가바이트), 피해 고객은 297만 명에 달한다. 이 중 28만 명은 카드번호, 비밀번호 2자리, CVC 등 결제 핵심 정보까지 노출된 것으로 알려졌다. 롯데카드는 2014년에도 대규모 개인정보유출 사고를 겪은 전력이 있다. 이후 MBK파트너스가 인수했지만 정보보호 투자에 소홀했다는 비판을 피할 수 없게 됐다. 롯데카드는 9월 24일 “현재까지 이번 사이버 침해 사고에 따른 부정 사용 시도나 실제 소비자 피해 사례는 단 한 건도 확인되지 않았다”고 밝혔다.
악성코드 감염 확인까지 2주 ‘늑장 대응’
당초 롯데카드는 8월 31일 주요 정보의 외부 유출은 확인되지 않았다고 공지했다. 그러나 금융당국의 현장 검사 결과 실제 유출 규모는 200GB에 달했고, 피해 고객은 롯데카드 전체 회원의 약 30%(297만 명)로 확인됐다. 초기 발표치인 1.7GB보다 100배 이상 많았다.롯데카드가 밝힌 해킹 경위를 종합하면 해커는 8월 12일 온라인 결제 서버에 침입해 다음 날 악성코드(웹 셸)를 설치했다. 이후 8월 14일 최초로 데이터를 반출했다. 롯데카드는 8월 26일이 돼서야 악성코드 감염을 인지했고, 닷새 뒤인 31일 데이터 유출 정황을 파악했다. 금융감독원에 신고한 시점은 그다음 날이었다. 해커가 고객 정보를 탈취하고 2주가 지나서야 유출 사실을 인지한 셈이다.
롯데카드는 해커의 수법이 교묘했다고 해명했다. 조좌진 롯데카드 대표이사는 “아주 짧은 공격을 계속하며 작은 파일을 하나씩 가져가는 방식이었다”고 밝혔다.
롯데카드는 2014년에도 개인정보유출 사고를 겪었다. KB국민카드, NH농협카드, 롯데카드에서 총 1억 건 넘는 고객 개인정보가 외부로 빠져나간 것이다. 신용평가사 직원이 전산망 접근 권한을 악용해 개인정보를 무단 복사한 것이 원인이었다. 당시 피해 규모는 업계 사상 최대 수준으로 롯데카드는 3개월 영업정지 처분을 받았다.
문제는 이후에도 재발 방지를 위한 정보보호 투자에 적극 나서지 않았다는 점이다. 특히 롯데카드는 2019년 MBK에 인수된 이후 정보보호 예산 비중이 지속적으로 줄었다. 금융감독원이 국회에 제출한 자료에 따르면 △2020년 14.2%(100억9700만 원) △2021년 11.3%(88억8300만 원) △2022년 9.8%(98억5800만 원) △2023년 8.6%(99억1400만 원) △2024년 8.4%(122억4500만 원) △2025년 9.0%(96억5600만 원)였다.
조좌진 롯데카드 대표이사 등이 9월 18일 서울 중구 부영태평빌딩에서 사이버 침해 사고와 관련해 고객에게 사과하고 있다. 동아DB
MBK, 롯데카드 재매각 추진
롯데카드의 정보보호 투자 비중 하락폭은 8개 전업 카드사 중 가장 컸다. 같은 기간 경쟁사들은 투자 비중을 늘렸다. KB국민카드는 10.3%에서 14.9%로, 현대카드는 8.1%에서 10.2%로 상향 조정했다. 롯데카드만 유독 보안투자 우선순위를 낮춘 것이다.MBK는 최근 해킹 사태와 관련해 “보안투자를 소홀히 한 바 없다”고 해명하며 향후 5년간 1100억 원을 정보보호에 투자하겠다고 밝혔다. 그러나 MBK는 2019년부터 2024년까지 6년간 롯데카드에서 배당금 2011억 원을 받았다. 이는 예정 투자금의 2배에 달한다. 또한 MBK는 2022년과 2024년 두 차례 롯데카드 매각을 시도했으며, 현재도 UBS를 매각 주관사로 선정해 2조~3조 원대 몸값으로 재매각을 추진하고 있다.
보안컨설턴트인 이형택 이노티움 대표는 “롯데카드의 보안투자는 기업 규모에 비해 적은 편”이라며 “대기업도 보안 강화를 ‘여름에 물조심하라’는 식의 형식적인 조언쯤으로 넘기는 경우가 많다”고 지적했다. “정보 보안에 소홀하다 사고가 터지면 ‘창사 이래 최대 위기’라는 말만 되풀이한다”는 것이다. 또한 그는 사이버 보안 대응 주체가 여러 기관에 흩어져 있는 것도 문제점으로 꼽았다. 이 대표는 “현재는 한국인터넷진흥원(KISA), 국가정보원, 경찰 등이 각기 대응하고 있어 AI 기반의 정교한 해킹 수법에 효과적으로 대처하지 못한다”며 “통합된 사이버 보안 컨트롤타워가 필요하다”고 강조했다.
윤채원 기자
ycw@donga.com
안녕하세요. 주간동아 윤채원 기자입니다. 눈 크게 뜨고 발로 뛰면서 취재하겠습니다.
‘사랑을 미끼로, 돈은 해외로’… 구제 사각지대 놓인 로맨스 스캠 피해자들
[오늘의 급등주] 지니언스, 쿠팡 개인정보 유출 여파에 강세
