해킹 피해 기자회견서 대대적 인적 쇄신 약속 "전액 피해 보상···향후 인력·예산 확대 예고보안 투자 미비 우려에 "노력 아끼지 않아 왔어"
);)
18일 조 대표는 이날 부영태평빌딩 컨벤션홀에서 진행된 롯데카드의 사이버 침해 사고에 대한 브리핑에서 이같이 밝혔다. 브리핑은 조 대표의 대고객 사과를 비롯해 사고 경위, 향후 고객 보호 조치 발표 등 순서로 진행됐다.
롯데카드는 이번 침해 사고로 인해 발생한 피해에 대해 그 어떤 손실도 고객에게 전가하지 않고 전액을 보상하겠다는 입장이다. 또 향후 사후 모니터링을 강화해 부정 결제 가능성에 대비하는 한편, 유출고객에게 금액과 무관하게 10개월 무이자 할부 서비스를 무료로 제공하기로 했다.
이후 진행된 질의응답에서는 조좌진 대표이사와 최용혁 정보보호실 실장, 최재용 마케팅본부 전무 등을 비롯한 롯데카드 경영진이 발표 내용과 관련한 기자들의 질의에 답변했다.
아래는 질의응답 주요 내용이다.
▲금융당국에서 기관 내 영업 정지, 과징금, 문책 경고 이상의 중징계에 대한 대응 입장은.
=당장의 소비자 피해를 최소화하는 것이 중요하다고 생각한다.
▲부정거래 발생 가능성이 의심된다고 언급한 키인(Key-in) 거래 비중과 연회비 대비 예상 지출 규모가 어느정도인지.
=현재 330만개 가맹점 중 1.15%에서 키인 거래가 이뤄지고 있다. 이 중 1.0%는 월 500만원 결제 가능성이 높은 항공사, 코레일 등이다. 나머지 0.15%가 중소가맹점에 해당한다. 이상거래탐지(FDS) 시스템을 통해 눈에 띄는 고액결제 건이나 짧은 시간 내 행해지는 다수 결제 건 등을 모니터링 후 색출할 방침이다.
다만 현재까지 그러한 정황은 확인된 바 없다. 그리고 모든 키인 결제 건은 별도 소명 절차가 필요하기 때문에 부정거래 발생 가능성이 낮다. 항공사나 코레일 등에서는 키인 거래가 상당히 이뤄지는데 이 부분 역시 일 단위로 모니터링하고 있어 우려하지 않아도 될 것으로 본다.
연회비 규모는 56억원 규모 정도로 추산 중이지만 아직 정확히 계산되지 않은 상황이다.
▲보안인증 후 17일 뒤 발생한 사고의 원인이 어디에 있다고 보는지. 인지가 늦은 이유는 무엇인지.
=최초 침투가 발생했던 1.7GB 유출은 해커가 서버 내 파일을 압축해서 들고 나간 흔적을 발견했다. 다만 이 과정에서 압축 파일을 교묘하게 다 지워버렸기 때문에 어떤 정보가 나갔는지 파악할 수가 없었다. 여기에 짧은 공격이 다발적으로 이뤄졌다. 유출된 고객 정보 파일의 대부분이 암호화돼 있었고, 데이터베이스 단위인 트랜잭션 형태로 쪼개진 상황이었다. 파편화된 유출 정보를 다시 짜 맞추는데 상당한 시간이 걸렸고, 오늘 오전까지 작업이 진행됐다. 회사가 책임을 다 질 수 있다는 전제 하에 정확한 정보를 제공하는 게 더 중요하다고 생각해서 시일이 걸렸고, 오늘 가까스로 브리핑을 진행할 수 있었다.
변명처럼 들릴 수 있겠지만 해킹 피해 발생의 가장 큰 이유는 일반적인 해킹 패턴과 현저히 달랐기 때문이다. 해커가 프록시라는 기술을 사용해 통상적으로 임직원들이 사용하는 작업과 상당히 유사한 방식으로 위장한 부분에서 기인했다. 특히 사용량이 거의 미비했던 서버를 통해 접근했기 때문에 인지가 늦기도 했다.
현재 전업 카드사 중 유일하게 국내외 정보보안 인증을 가지고 있다. 다만 해당 인증이 해커로부터의 침입으로부터 무조건 안전하다는 것을 의미하지는 않는다고 생각한다. 예산을 추가로 투입하고자 하는 것도 바로 이같이 발생할 수 있는 한계점을 보완하려는 의도에서다.
▲피해 방지를 위해 정보가 유출된 고객의 결제를 선제적으로 모두 차단한 뒤 카드 재발급을 고려할 순 없었는지.
=피해 최소화를 위한 모든 방안을 고려했지만 고객의 동의 없이 카드승인을 임의로 차단할 경우 자동결제 연체로 인한 불이익을 받을 가능성이 높다고 판단했다. 다만 리스크가 큰 해외결제의 경우 해외결제건이 없는 고객에 한해 현재 전부 결제를 차단한 상황이다. 부정사용 가능성이 높은 키인 결제도 가맹점 단위로 차단을 완료했다.
▲보상으로 제시한 무이자 할부 기간 산정 기준은.
=고객에게 가장 큰 결제 내지는 상환 부담 없이 제공할 수 있는 관점에서 혜택을 고려한 것이다. 현재 무이자 할부 10개월 제공은 일반 소비자에게 제공하고 있지 않다.
▲해킹 사태 발생의 근본적인 원인이 인력 절감을 통한 비용 효율화라는 지적이 있다. 이에 현재 대주주로 있는 사모펀드 MBK파트너스에 대한 경영 책임론도 제기되고 있다.
=MBK파트너스의 롯데카드 인수 직전 롯데카드 보안 내부인력은 19명, 연 정보보호 관련 투자금액은 71억원 규모였다. 당시 내부 정비를 마치고 이듬해인 2021년부터 137억원으로 정보 보호 투자를 늘렸다. 이후에도 2022년 89억원, 2023년 115억원, 지난해 117억원 등 DR 구축, 백업 시스템 고도화 같은 정보보호와 관련된 큰 투자를 이행했다. 관련 인력도 현재 30명으로 4년 새 2배 가까이 늘렸다.
이외에 추가 성과급도 지급하는 등 정보 관리 면에서 상당히 높은 투자와 노력을 나름대로 아끼지 않았다고 생각한다. 최근 5년 동안 타사 대비 차별화를 내세운 보안 강화를 위해 노력해 왔다고 자부할 수 있다. 물론 그럼에도 발생한 사태에 대해서는 최고 책임자인 본인이 져야 한다는 입장은 여전하다. 관련 역량이 부족할 수는 있었지만 열정과 애사심이 부족했다고 보지는 않는다. 다만 앞서 말한 계획을 토대로 지금보다 더 노력한다면 가능하지 않을까 생각한다.
▲이번 해킹 사고 주체에 대해 금융당국과의 조사 과정에서 파악한 것이 있는지.
=현재도 조사를 진행하고 있지만 알아내지 못했다. 정보 유출 정황을 최초로 파악했을 때 집계한 1.7기가바이트(GB) 상당의 데이터의 경우 끝내 복구에 실패했다.
▲연말까지 예고한 인적 쇄신 완료가 내년 3월 임기 만료 조 대표의 전 조기 사임 가능성을 염두에 둔 발언인지.
=롯데카드 경영의 매커니즘을 구축하는 계기로 삼겠다는 차원에서 한 말이다. 충분히 시장에서 납득할 수 있을 만큼의 인적 쇄신을 단행할 것이며, 필요할 경우 사임도 각오하고 있다. 현재 사이버 공격 정황 확인 이후 고객 피해 최소화를 위해 전 직원이 주말까지 시간을 할애해 업무에 역량을 집중해 왔다. 이를 통해 부정사용 가능성이 있는 28만명 중 5만5000명에 대한 재발급 프로세스를 선제적으로 완료한 상황이다. 데이터베이스(DB)가 해킹을 당한 게 아니라 온라인 결제 서버가 해킹을 당했기 때문에 일부 유출 정보를 사전에 특정할 수 있었다.
뉴스웨이 김명재 기자
emzy0506@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
![카카오톡](javascript:void(kakaoLinkShare('고개 숙인 조좌진 롯데카드 대표···"무조건 보상, 필요하다면 사임할 것"(일문일답)', '조좌진 롯데카드 대표이사는 최근 해킹 사고에 대해 전액 보상 및 사내 인적 쇄신을 약속하며, 필요시 대표직 사임도 각오한다고 밝혔다. 롯데카드는 고객 피해를 전가하지 않고 무이자 할부, 해외 결제 차단 등 보호 조치를 시행한다. 보안 강화 및 인력·예산 확대 방침도 발표했다.', 'https://nimage.newsway.co.kr/photo/2025/09/18/20250918000087_0640.jpg', 'https%3A%2F%2Fwww.newsway.co.kr%2Fnews%2Fview%3Fud%3D2025091816143596892'));){kind=link}
댓글