• Korea Council of Chief Information Security Officers
      회원안내      

CISO 뉴스

  • HOME
  • CISO 뉴스
  • 최신뉴스

CISO 뉴스

최신뉴스

롯데카드, 5년간 1100억원 보안 투자 약속...조좌진 대표 일문일답 “사임 각오 쇄신 단행” 2025.09.18

3줄 요약
1. 297만명 회원 정보 유출 확인...28만명은 부정 사용 가능성
2. 어떤 피해도 전액 보상, 무이자 할부 10개월 등 보상책 제공
3. “IT 투자 대비 15% 정보보안 투자할 것...업계 최고 수준”

[보안뉴스 강현주 기자] 롯데카드가 해킹 사고를 사과하며 향후 5년 간 1100억원의 정보보호 투자를 단행하겠다고 약속했다. 조좌진 대표는 사임까지 각오한다는 인적쇄신 의지와 보안 강화 의지를 강조했다.

18일 롯데카드는 서울 중구 부영태평빌딩에서 기자회견을 열고 해킹 피해 상황과 개선책, 피해보상책을 발표했다.

▲롯데카드 임원진이 고개숙여 사과하고 있다. [자료: 보안뉴스]


롯데카드 파악에 따르면 297만명 회원의 정보가 유출됐다. 이중 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명이며, 유출 정보 범위는 카드번호, 유효기간, CVC번호 등이다.

단말기에 카드 정보를 직접 입력해 결제하는 키인(Key in) 거래를 할 때 부정사용 가능성이 있다. 나머지 269만명은 일부 항목만 제한적으로 유출돼 카드 부정사용이 발생할 가능성은 없다는 설명이다.

롯데카드는 부정사용 위험이 있는 28만명에게 최우선적으로 카드를 재발급하고, 차년도 연회비를 면제하겠다고 밝혔다. 특히 이상 거래 탐지 시스템(FDS)으로 모니터링을 강화해 부정 거래를 차단할 방침이다. 또 고객정보가 유출된 전원에게 연말까지 무이자 10개월 할부 제공, 금융피해보상 서비스 무료 제공 등을 약속했다. 피해액은 전액 보상할 방침이다.

롯데카드는 특히 향후 5년간 IT 투자액의 15%를 투입, 업계 최고 수준의 보안 투자를 단행할 계획이다. 이를 통해 △24시간 실시간 통합보안 관제체계 강화 △전담 레드팀 신설로 해커 침입 가정한 예방 활동 상시화 △전사 IT 시스템 인프라의 보안 중심 전면 개편 등을 약속했다.

조 대표는 이날 “고객 피해를 제로화 하고, 고객분들의 불편을 최소화하는 임무가 롯데카드 대표이사로서의 마지막 책무라는 결연한 마음가짐으로 최선을 다할 것”이라며 “진심으로 사과드린다”며 고개 숙여 말했다.

▲일문일답을 하는 조좌진 대표 [자료: 보안뉴스]


다음은 조 대표와의 일문 일답
Q. ISMS 인증을 받은 후 해킹 사고가 났는데
A. 롯데카드는 국내외 정보보호 관련 인증을 다 가지고 있고 이는 전업 카드사 중에는 유일할 정도로 정보보호에 노력을 기울인다는 증거다. 해커가 뚫지 못할 인증이 있다면 받고 싶은데, 그런 인증이 있을까? 인증 기관도 최선을 다했겠지만 항상 한계는 있다. 공격자는 그 틈을 비집고 들어오는 것이다. 이상을 항상 감지하고 포상도 하고, 바로 대응하는 구조가 만들어져야 한다. 해커 입장에서 여러가지 (취약점 파악) 시도도 해야 한다.

Q. 한 개의 누락된 보안패치로 악성코드가 침투한 사고다. 사소한 부분에서 발생한 사고인데, 보안 투자를 늘린다 해도 동일 사고 발생 가능성이 있지 않을까?
A. 2017년 패치 업그레이드 보강 공지가 내려왔고, 48개 패치 업데이트를 해야 했는데 하나를 놓쳤다. 해외 한 결제사 시스템이었는데, 그 결제사를 통한 거래가 거의 없었기 때문에 업데이트 필요 여부도 파악하기 어려웠다. 금융위로부터 점검 리스크를 받아 매년 그 이상으로 점검하지만, 트랜잭션이 없다보니 존재를 알기 어려웠다. 놓친 것은 분명 인재고 죄송하다.

Q. MBK 파트너스의 책임은 없는지, 비용 절감 이슈가 있었나?
A. 2019년 10월 인수가 이뤄졌고, 2020년 정보보호 투자액은 71억이었다. 그 이후 계속 투자가 확대됐다. 정보보호 인력 역시 4년 사이 두 배가 됐다. 화이트해커를 통한 모의침투와 스미싱 신고 직원 포상 등 정보보호에 상당한 노력을 했다. IT 투자 대비 보안투자는 현재 우리가 10% 정도인데, 금융권 가이드라인인 7%보다 높다. 하지만 침해를 막을만큼 충분했는지 본다면 반성의 여지가 너무 남는다. CEO인 제가 책임져야 한다고 생각한다.

Q. 인적 쇄신 부분에서 사임도 생각하는 것인가
A. 대표이사인 저를 포함해 납득할만한 수준의 인적 쇄신을 단행하겠다. 사임안도 포함이다.

Q. 공격자 세력은 확인됐는지
A. 지금 사이버 수사대에서 조사 중이고, 여러 IP나 클라우드 업체나 지속적으로 찾고 있다. 통상적 수법을 볼 때 특정 해외 해커 집단으로 추정하고 있지만, 아직 밝히지 못하고 있다. 파악되면 소상히 알려드리겠다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>