카드번호·CVC까지 노출된 28만명 고위험군, “보상 수준 턱없이 부족” 지적
“단기성 혜택으론 부족” 지적… 2014년 카드 3사 유출 사태 환기
롯데카드가 297만 명의 개인정보와 200GB에 달하는 데이터를 해킹으로 유출당한 사실을 공식 확인하면서 파장이 커지고 있다. 유출 규모가 방대한 데다 카드번호와 CVC까지 포함된 고위험군이 드러나면서 소비자들의 불안이 확산되는 가운데, 회사가 내놓은 보상책은 “규모 대비 턱없이 부족하다”는 비판에 직면했다. 금융당국이 엄정 제재 방침을 밝힌 상황에서 롯데카드가 내놓은 대응책이 신뢰 회복으로 이어질 수 있을지 주목된다.
19일 소셜네트워크서비스(SNS)와 각종 온라인 커뮤니티 등에 따르면, 일부 소비자들은 롯데카드 앱을 통해 개인정보가 유출되지 않았다고 안내받았음에도 불구하고 불안을 호소했다. 안내 화면을 근거로 “피해 대상이 아니라는데 믿기 어렵다”, “앱에서는 안전하다지만 뉴스에서는 카드번호까지 털렸다고 하니 모순 아니냐”는 불신의 목소리가 잇따르고 있다. 특히 회사가 공개한 보상책을 두고 피해 규모에 비해 미흡하다는 불만이 이어졌다. 일부 이용자는 “이 정도면 카드를 아예 해지해야 하는 거 아니냐”는 반응까지 보이며 불안감이 걷잡을 수 없이 퍼지고 있다.
롯데카드 해킹은 외부 협력업체 직원의 PC가 악성코드에 감염되면서 시작됐다. 공격자는 이를 경유해 롯데카드 내부 결제 서버(WAS)에 침투했고, 데이터베이스에 접근해 대규모 개인정보를 반출했다. 회사와 금융당국 조사에 따르면, 유출된 정보는 이름, 생년월일, 휴대전화 번호, 주소 등 기본 개인정보를 비롯해 카드번호·유효기간·CVC 일부까지 포함돼 있었다. 전체 회원 967만 명 가운데 297만 명이 피해자로 확인됐으며, 이 중 약 28만 명은 결제정보까지 노출돼 상대적으로 위험이 높은 그룹으로 분류됐다.
롯데카드는 소비자 피해 최소화를 위해 전액 보상 원칙을 천명했다. 피해 고객에게 문자와 이메일을 통해 개별 통보하고 있으며, 카드 비밀번호 변경과 재발급을 무료로 지원하고 있다. 아울러 결제 피해 발생 시에는 전액을 보상하겠다고 재차 강조했다. 더불어 피해 고객 전원에게 올해 말까지 10개월 무이자 할부 혜택을 제공하고, 거래 알림 서비스를 무상으로 적용하겠다고 밝혔다. 유료 신용 모니터링 서비스인 ‘크레딧케어’도 무료로 열어주기로 했고, 재발급을 받은 고객에 대해서는 차년도 연회비를 면제하기로 했다.
하지만 소비자 반응은 싸늘하다. 온라인상에서는 “몇 달짜리 이벤트성 보상으로 끝낼 일이 아니다”는 지적이 많고, “피해자 규모와 유출 데이터 성격을 감안하면 장기적인 보상책이 필요하다”는 목소리도 높다. 일부 피해자들은 MAC 주소나 일회성 인증번호 같은 민감한 보안값까지 노출된 사실이 확인되면서 보안 관리 체계 전반이 허술했다는 비판이 이어지고 있다. MAC 주소는 인터넷에 연결되는 각 기기마다 부여된 고유 식별값으로, 노출될 경우 기기 추적이나 특정 단말 식별이 가능해 보안상 민감한 정보로 분류된다.
이번 사고는 2014년 카드 3사(롯데·KB국민·NH농협) 대규모 개인정보 유출 사태를 다시 환기시킨다. 당시 국민·롯데·농협카드에서 중복 제외 2000만 명의 정보가 유출돼 사상 최대 기록을 남겼고, 이름·주민등록번호·연락처·직장 정보 등 민감한 개인정보가 빠져나갔다. 이후 일부 피해자들이 제기한 집단소송에서는 법원이 1인당 10만 원 배상 판결을 내리기도 했다. 당시에도 카드 재발급, 유출 조회 서비스, 단기적 혜택이 제공됐지만 실효성 논란은 해소되지 못했고, 금융권 전반의 신뢰 회복에는 오랜 시간이 걸렸다. 이번 롯데카드 사태는 피해 규모가 상대적으로 작더라도 유출 항목이 결제·보안 인증 정보까지 확장됐다는 점에서 더 심각한 사례로 받아들여지고 있다.
금융당국도 이번 사태를 단순한 해킹 피해가 아니라 제도적 관리 부실로 보고 있다. 금융위원회와 금융감독원은 긴급 현장 점검을 통해 추가 조사를 이어가고 있으며, 과징금과 영업제한 등 강력한 제재 가능성이 거론된다. 당국 관계자는 “고객 신뢰를 근본적으로 저해하는 사안으로, 책임 있는 조치를 취하겠다”고 밝혔다. 업계 안팎에서는 롯데카드의 보상책 수준과 실제 피해 항목 간 괴리가 향후 제재 수위와 보안 규제 기준 재정립에 직접적 영향을 미칠 것으로 보고 있다.
롯데카드 내부에서는 보안 체계 전면 개선이 불가피하다는 위기감이 높다. 외부 보안 컨설팅을 통한 취약점 점검, 임직원·협력사 정보보호 교육 강화, 외부망과 내부망 분리 등 구조적 대책이 거론된다. 그러나 소비자 신뢰 회복은 단기적인 시스템 보강만으로는 어렵다는 지적이 많다. 한 금융권 고위 관계자는 “사고 직후 전액 보상을 내세우지만, 시간이 지나면 소비자들의 불안과 피해 우려는 해소되지 않는다”며 “보상 수준과 범위를 업계 전체적으로 다시 논의해야 한다”고 말했다.
롯데카드는 이번 해킹 사고와 관련해 18일 기자 간담회를 열고 피해 수습과 재발 방지를 위한 구체적 대책을 설명했다. 이날 조좌진 롯데카드 대표이사는 “이번 사태로 고객 여러분께 심려를 끼쳐 드린 점에 대해 진심으로 사과드린다”며 “발생한 피해는 당사가 전액 책임지고 보상하겠다. 고객 신뢰 회복을 위해 보안 체계를 근본적으로 혁신하고, 다시는 같은 사고가 일어나지 않도록 모든 역량을 집중하겠다”고 밝혔다.
![[그린리더를 만나다] AI·데이터·과학으로 무장한 해양쓰레기 해결사, 홍선욱 오션 대표 인터뷰](https://cdn.greenpostkorea.co.kr/news/thumbnail/custom/20251126/305155_307389_180_1764116282_250.jpg)
