롯데카드가 해킹 공격에 따른 피해 조사 결과, 전체 회원의 3분의 1에 해당하는 297만명의 고객 정보가 유출된 것으로 확인됐다.

조좌진 롯데카드 대표는 18일 오후 서울 중구 부영태평빌딩에서 긴급 기자회견을 열고 "회원 여러분과 관계 기관에 심려를 끼쳐 송구하다"며 공식 사과했다.

조 대표는 "전체 정보 유출 고객 가운데 카드 불법 사용으로 이어질 우려가 있는 인원은 약 28만명"이라며 "유출된 정보에는 카드번호, 만료일, CVC 코드 등이 포함된다"고 설명했다.

이어 "이들에 대해서는 신속하게 카드 재발급 절차를 실시하겠다고 밝혔다. 그는 "나머지 269만 명은 일부 항목만 제한적으로 유출됐다"며 "해당 정보만으로 카드 부정 사용이 발생할 가능성은 없다"고 말했다.

이번에 유출된 정보는 온라인 결제 과정에서 생성·수집된 데이터로, ▲연계 정보(CI) ▲주민등록번호 ▲가상 결제코드 ▲내부 식별번호 ▲간편결제 서비스 종류 등이 포함된 것으로 파악됐다.

조 대표는 "정보 유출은 온라인 결제 서버에서 발생한 것으로, 오프라인 결제와는 무관하다"며 "피해 회원에 대해서는 롯데카드가 전액을 보상하고, 2차 피해와의 연관성이 확인되면 역시 전액 보상할 것"이라고 밝혔다.

금융감독원은 국회 강민국 의원실에 보고한 자료에서 "카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다"며 고객정보 유출 가능성을 염두에 둔 바 있다. 실제로 지난달 14∼15일 온라인 결제 서버가 해킹돼 내부 파일이 빠져나갔으며, 카드번호와 유효기간, CVC 등 민감한 신용정보까지 유출됐을 가능성이 제기된다.

애초 이틀간의 결제 내역만 외부로 유출된 것으로 알려졌으나, 대규모 데이터가 빠져나간 정황에 비춰 더 장기간의 거래 내역이 포함됐을 수 있다는 추측도 나온다.

이번 사태는 롯데카드의 최대주주인 사모펀드 MBK파트너스에도 불똥이 튀고 있다. 금융업계에서는 MBK파트너스가 수익 극대화에 치중하는 과정에서 보안 투자가 소홀해졌다는 지적이 꾸준히 제기돼 왔다. 실제로 롯데카드가 사용한 결제관리 서버는 약 10년 전 취약점이 발견돼 대부분 금융사가 보안 패치를 적용했지만, 롯데카드는 이를 설치하지 않아 해킹 공격에 그대로 노출된 것으로 전해졌다.

또 최초 해킹이 발생한 뒤 17일이 지난 지난달 31일 정오께에야 사태를 인지한 사실도 드러났다.

한편 MBK파트너스는 '홈플러스 사태'와 관련해 현재 금융당국 조사와 검찰 수사를 동시에 받고 있어, 이번 롯데카드 사태와 맞물려 파장이 더욱 커질 전망이다.