'297만 정보 유출' 롯데카드 "어떤 손실도 고객 전가 않겠다"[일문일답]

(서울=뉴스1) 정지윤 기자 = 회원 960만 명을 보유한 롯데카드의 해킹 피해 규모가 297만 명에 달하는 것으로 나타났다. 전체 회원의 3분의 1 수준으로, 그중 28만 명은 부정 사용 가능성이 있는 것으로 파악됐다.

롯데카드 측은 "이번 침해 사고로 인해 발생한 피해에 대해서는 그 어떠한 손실도 고객에게 전가하지 않겠다"며 피해액 전액 보상을 약속했다.

다음은 조좌진 롯데카드 대표가 기자들과 나눈 일문일답.

-연말에 대표를 포함해 인적 쇄신을 하겠다고 했다. 조좌진 대표 임기가 내년 3월까지인데 사임하겠다는 뜻인지.

▶이 사태를 단순히 해킹, 정보보안 문제로 인식하는 게 아니라 새로운 경영 메커니즘을 구축하는 계기로 삼겠다는 것. 저를 포함해 충분히 시장에서 납득할 만한 인적 쇄신을 하겠다고 약속드린다. 물론 사임까지 포함된다.

-수백억 이상의 과징금이나 문책경고 이상 중징계 나올 수 있다는 가능성 제기되는데, 당국 제재에 대한 향후 대응 입장은.

▶과징금이나 중징계에 대한 대응은 지금 생각할 것도 아니고 생각해 본 적도 없다. 이 일이 일어난 3주 동안 전체 인원이 주말에도 나와 대책 강구하고 사전 대비하고 아이디어를 짜냈다. 어제 저녁 6시 기준으로 그나마 카드부정사용 가능한 28만 명 중에서 5만 5000명에 대해 카드 재발급이나 사용정지 또는 회원 탈회가 완료돼 5만 5000명에 대해선 리스크가 없어졌다.

-이미 유출된 정보와 관련해 카드사가 할 수 있는 대응책은.

▶정보 유출된 297만 명 고객 전체에 대한 보상은 정리 정돈을 한 다음에 법규와 규정에 따라서 차근차근 진행할 부분이다. 지금은 롯데카드의 피해를 줄이기 위해 어떤 행동을 할 것이냐에 대한 부분은 전혀 중요하지 않다. 지금 일어난 것을 먼저 명확하게 해결하고 그 해결을 통해서 롯데카드가 다시 선택받을 수 있는 카드사로 되게끔 하는 것이 가장 중요하다.

-부정사용 가능성이 있는 28만명 고객이 키인(KEY IN) 거래 시 부정사용을 당할 가능성은 얼마나 되는지.

▶키인거래는 쉽게 말하면 카드 결제 시 ic칩의 문제가 있었거나 마그네틱 문제가 있을 때 하는 거래로, 통상적으로는 없어서 그러한 형태의 부정사용은 없다고 보는 게 맞다. 오래된 가맹점이나 해외의 특정 가맹점 경우 일부분 전화나 통신을 통해서 키인거래가 일어나는 경우가 있는 걸로 알고 있는데, 규모가 1% 정도라고 안다.

-키인 거래 기존 규모와 막을 수 있는 조치는.

▶330만 가맹점 중에 0.15%정도에서 키인결제가 이뤄지고 있다. 0.15%의 거래에 대해 SDS 시스템을 돌려서 한건당 고액 결제 건이 올라온다거나 다수 결제 건이 올라오는 걸 모니터링 중인데 현재까지 없다.

-해킹 공격 17일이 지나서야 인지한 배경은.

▶최초로 침투가 일어났던 시기, 첫 번째 1.7GB 데이터가 나간 정황을 발견 후 해커가 서버 안의 파이를 압축해서 들고 나간 흔적은 발견했다. 그런데 압축한 파일을 교묘하게 다 지워버려서 어떤 정보가 나갔는지를 확인할 수 없었다. 두 번째 공격은 해커가 아주 교묘한 형태로 아주 짧은 공격을 하면서 조금조금 가져가는 형태였다. 암호화를 다시 풀어서 보니 고객별로 데이터가 있는 게 아니라 트렌지션별로 있어서 고객별로 유출 정보가 다 달라 정리정돈하는 작업 필요했다. 다시 말하면 암호화된 부분을 다시 복구화하고, 고객 정보별로 매칭시키고, 또 특정 고객별로 특정 정보가 나갔는지 매칭하는 작업이 상당히 오래 걸렸고 그 작업이 어제저녁 6시 정도에 마무리됐다. 이 작업이 중요하냐면 고객 정보 중 어떤 정보가 유출됐는지 영향도에 따라 어떤 액션을 취하는지 안내해야 하는데, 이를 추정이나 가정으로 할 수 없었고 그 과정에 상당한 시간 소요됐다.

-비밀번호 변경이나 재발급 신청하라는 건 대처가 미흡해 보인다. 카드 결제를 선제 차단하는 조처를 해야 하는 것 아닌지.

▶안 그래도 차단할 수 있는 모든 방법을 고민했지만 만약 고객에게 동의받지 않고 카드 승인 차단했을 경우, 넷플릭스 등 자동 결제 걸어놓은 고객이 승인이 안 되면서 연체가 되고 거기에 따른 불이익 가능성이 훨씬 더 클 수 있다고 판단했다. 선제적으로 모든 것을 차단하는 건 리스크가 크다. 해외 결제 거래는 모두 승인 차단했다. 키인결제는 한 번도 키인결제 없던 가맹점에 대해 우선 차단했다.

-이런 사태 발생 배경에 대해 비용 절감 문제를 지적하는데, 최근 3년 안에 비용절감 사실이 있는지. MBK 책임이 있다고 할 수 있는지.

▶MBK 인수가 2019년. 외부인력 19명의 정보보호 관련 투자 금액이 71억 원이었고, 제가 2020년 3월 30일 부임했다. 2020년엔 사실 내부 정비 작업을 하던 시기였고 2021년에 137억 원을 투자해 이때는 상당히 많은 정보보호 관련 투자를 진행했다. 2022~2025년 숫자를 보면 88억, 114억, 116억 등 정보보호 투자는 지속 확대했다. 인력은 최초 15명에서 지금은 30명으로 4년 사이 2배 늘었다.

-해킹 시도 세력이 어떤 세력인지 국적 등이 확인됐는지.

▶지금 수사당국에서 사이버수사대에서 조사를 하는 중이고, ip나 클라우드업체 같은 쪽을 통해 지속해서 찾고는 있다. 통상적인 수법을 봤을 때 특정 해외 해커 집단으로 추정은 하고 있지만 아직 그게 어디인지는 밝혀내지 못하고 있다. 그 부분은 진행 중이고, 밝혀지면 그 부분도 소상하게 알려드리도록 하겠다.

-최초 침입 시간보다 17일 지난 후에야 인지했는데, 왜 이렇게 오래 걸린 건지.

▶실제로 해커가 처음으로 내부 침입 시도를 한 이후에 발견하기까지 오래 걸렸다. 변명의 여지로 들릴 수 있지만 일반적인 침해 행위와는 다른 형태를 활용했고 취약점 부분은 관리가 안 된 부분이 있었다. 웹로직 취약점으로 들어왔고, 대용량으로 빠져나간 것도 없었고, 사용량이 미비한 서비스였기에 인지에도 늦어졌다. 해커가 프록시라는 기술 활용해 통상적으로 발생하는 통신, 작업과 구분을 거의 못 하는 방식으로 교묘하게 일어났다. 튀는 게 있거나 잘못된 게 있으면 확인하는데, 그런 부분은 해커가 교묘했었던 것 같다. 프록시도 터널링 기법을 이용해 숨겨지는 기능을 활용하기도 했다.

-정보 나간 게 지난달 15일이고 지금 조치하시겠다는 건 한 달의 기간이 있는데 이 사이 피해 발생했을 경우는 어떻게 하는지.

▶전액 배상한다. 고객 피해 관련 부분은 유출된 당시부터 롯데카드가 1차 보상, 2차 보상, 전액 보상한다고 약속드린다.

stopyun@news1.kr