카테고리 없음

롯데카드 해킹 | 297만명 정보 유출, 유출 범위, 공식 입장, 후속조치, 개인신용정보 유출 확인 바로가기

nslangsalle 2025. 9. 19. 10:00

롯데카드가 9월 18일 긴급 기자회견을 열고, 외부 해킹으로 고객 297만명의 정보가 유출됐다고 공식 인정했습니다.

 

당국 합동조사 결과 유출 데이터는 총 200GB에 달하며, 이 가운데 약 28만명은 카드 CVC·유효기간 등 결제에 직결되는 민감정보까지 노출된 정황이 확인됐습니다.

 

롯데카드 신용정보 유출 확인하기

 

회사는 “부정사용 피해는 전액 보상”을 약속했고, 금융당국은 강도 높은 검사와 제재를 예고했습니다.

 

 

 

1) 이슈 한눈에 보기 

 

 

  • 피해 인원: 2,970,000명(전체 고객의 약 30%)
  • 유출량: 총 200GB(초기 자체 신고 1.7GB → 당국 조사로 200GB 확인)
  • 특히 위험한 구간: 약 28만명에서 CVC·유효기간·(일부) 카드 비밀번호 2자리 등 결제 직결 정보 노출
  • 회사 조치: 피해자 전원 안내, 28만명 카드 재발급 권고, 부정사용 전액 보상 방침, 보안 투자 확대 발표
  • 당국 입장: 금융위·금감원 합동조사, 보고 지연·보안관리 위반 여부 점검, “강도 높은 책임” 예고

당국은 “전문가 견해로는 ‘유출된 정보만’으로 부정사용 가능성이 낮다”는 완화적 설명도 병기했지만, CVC·유효기간 등 키 정보가 동시에 새어나간 구간(28만명)만큼은 위험도가 높다는 데 의견이 모입니다.

 

 

2) 사건 타임라인 — 무엇이, 언제, 어떻게 벌어졌나

 

 

  • 7월 22일~8월 27일: 온라인 결제 과정에서 생성·수집된 데이터가 공격자에 의해 차곡차곡 빠져나감. 당국은 WAS(웹 애플리케이션 서버) 침입과 악성코드 설치 정황을 확인.
  • 8월 26일: 롯데카드가 침해 징후를 인지, 내부 점검에 착수(서버 3대에서 웹셸 5종·악성코드 2종 발견). 곧바로 삭제·차단했으나 실제 유출 규모 파악에는 시간이 더 걸림.
  • 8월 31일~9월 1일: 회사가 정보유출 가능성을 인지·신고. 초기에 1.7GB로 파악해 금융당국에 보고. 이후 합동조사에서 200GB로 정정.
  • 9월 18일: 대표이사 사과 및 전액 보상 방침 발표. 피해자 전원 문자 안내 개시, 28만명 대상 재발급 안내 병행. 금융당국 “제재 수위 검토”.

조사 초기 회사 스스로 과소평가했던 1.7GB → 200GB의 정정은, 내부 모니터링·로깅 체계가 실제 유출량을 신속히 가늠하지 못했다는 신뢰성 문제를 남깁니다.

 

 

3) 정확히 ‘무엇’이 새어나갔나 — 유출 범위 해부

개인 신용정보 유출여부 확인하기

 

 

3-1. 공통(297만명)

  • 연계정보(CI), 주민등록번호, 내부 식별번호, 가상결제 코드, 간편결제 서비스 종류 등 신용·본인확인 관련 데이터
  • 온라인 결제 여정에서 수집된 로그성 정보 일부(시점·경로 등)

3-2. 고위험군(약 28만명)

  • 카드번호, 유효기간, CVC(카드 뒷면 3자리), (일부) 카드 비밀번호 2자리비대면 결제에 직접 쓰일 수 있는 조합
  • 특징: 해당 기간에 신규로 카드정보를 등록했거나 결제 환경을 바꾼 고객 비중이 높음(회사·언론 종합 보도)

왜 위험한가? 온라인 ‘키인(Key-in) 거래’는 물리 카드 제시 없이 카드번호+유효기간+CVC만으로 결제가 이뤄질 수 있는 환경이 존재합니다. 이 조합이 유출된 28만명은 부정사용 노출이 현저히 커집니다.

 

 

4) 회사·당국은 무엇을 했나 — 공식 입장과 후속조치

 

 

  • 공식 사과 & 보상: 대표이사 공개 사과, 부정사용 피해액 전액 보상 약속. 피해자 전원 안내, 앱·홈페이지·고객센터로 유출 여부 확인 가능.
  • 재발방지·지원책: 고위험군(28만명) 카드 재발급 권고 및 일부 연회비 면제, 연말까지 10개월 무이자 할부 제공 등 고객 불편 완화책. 향후 5년간 정보보호 1,100억원 투자 계획 공표.
  • 당국 대응: 금융위·금감원 합동조사, 보고 지연·취약점 관리 부실 등 위규 여부 점검. “강도 높은 책임”과 제재 방침 시사.

 

5) 실전 대응 가이드 — 내 정보가 털렸다면 지금 당장

 

 

아래 체크리스트는 유출 가능 고객 전원에게 권합니다. 고위험군(28만명)은 가급적 오늘 안에 수행하세요.

 

(1) 노출 여부 확인

개인신용정보 유출 확인 바로가기

  • 롯데카드 앱·홈페이지의 유출조회 메뉴에서 본인 확인 → 결과 확인. 문자 안내를 못 받았더라도, 고객 규모가 큰 만큼 직접 확인 권장.

(2) 결제 차단·한도 관리

  • 해외결제·무단 카드결제 차단(설정 ON)
  • 1회·1일 결제한도 임시 축소(특히 온라인·해외)
  • *간편결제(페이)**에 등록된 카드 전수점검(미사용 서비스 해지)

(3) 카드 재발급

  • CVC/유효기간 노출즉시 재발급. 28만명 대상은 회사가 재발급 안내 중. 기존 자동결제(통신·구독 등) 수정 체크리스트 작성 후 순차 변경.

(4) 알림·모니터링 강화(최소 90일)

  • 결제 알림을 1원 단위까지 켜고, 야간 알림도 허용
  • 주 1회 카드사 명세서신용정보 앱신용조회 이력 확인
  • 이상 거래 발견 시 즉시 신고 → 전액 보상 절차 진행(콜센터/앱).

(5) 피싱·사칭 주의

  • “해킹 보상금 지급” 등을 미끼로 한 사칭 문자·통화 급증 가능. URL 클릭 금지, 공식 앱에서만 처리.

TIP | 자동결제 변경 체크리스트

통신요금 · OTT · 음악/클라우드 구독 · 배달/모빌리티 · 쇼핑몰 정기결제 · 공과금(지자체/공단) · 각종 멤버십/후원. 카드 재발급 후 모두 카드번호 업데이트를 잊지 마세요.

 

6) Q&A — 독자가 가장 많이 묻는 것

 

 

Q1. 실제 금전 피해가 생기면 어떻게 되나요?

A. 회사는 전액 보상을 약속했습니다. 이상 승인 건 발견 즉시 앱/콜센터로 신고 → 차단·조사·환급 순서로 처리됩니다.

 

Q2. CVC·유효기간이 유출되지 않은 일반 고객(그 외 269만명)은 안전한가요?

A. 당국은 “유출된 정보만으로 부정사용 가능성은 낮다”는 점을 밝혔지만, CI·주민등록번호 등 식별정보가 포함된 만큼 피싱·사칭 2차 범죄 위험은 여전히 존재합니다. 알림·모니터링을 권합니다.

 

Q3. 왜 유출 사실 파악에 오래 걸렸나요?

A. 합동조사에서 웹셸·악성코드 흔적이 다수 확인됐고, 로그·트래픽 분석을 통해 유출량이 뒤늦게 산정됐습니다. 내부 탐지·가시성 부족 지적이 나옵니다.

7) 기술적으로 본 공격 — 무엇이 취약했나

당국 발표와 보도에 따르면 공격자는 온라인 결제 서버(WAS)를 노려 원격제어용 웹셸과 악성코드를 심고 장기간·저대역폭으로 데이터를 반출했습니다. 이는

  • 웹 애플리케이션 계층의 권한 검증·패치 관리 허점,
  • 로그·이상행위 탐지체계(UEBA/EDR/SIEM)의 부재 또는 민감도 부족,
  • 결제 경로 상 민감정보의 암호화/비식별화 수준 한계
  • 와 맞물려 피해를 키운 것으로 해석됩니다(보도/당국 발표 종합).

베스트 프랙티스: (1) 결제 경로 분리와 토큰화(Tokenization), (2) 카드정보 저장 최소화/비가역적 토큰 대체, (3) FIDO2·3DS2 등 추가인증 기본화, (4) WAF+RASP로 런타임 보호, (5) 레드팀·버그바운티 상시화.

8) 제재·법적 책임 전망 — “강도 높은 책임”의 의미

금융당국은 보고 지연, 취약점 관리 부실, 대량 유출을 중대 사안으로 보고 있습니다. 금감원 검사 결과에 따라 기관·임직원 제재, 과태료, 시정명령, 관리체계 개선 요구가 뒤따를 수 있습니다. 사모펀드 대주주 체제에서 보안투자가 후순위가 된 것 아니냐는 업계 비판도 제기됩니다.

9) 업계에 던지는 질문 — “수익성 vs. 보안”

이번 사태는 ‘수익성 중심의 효율화’가 보안 리스크로 회귀할 수 있음을 적나라하게 보여줍니다. 2010년대 초반 대형 정보유출 이후, 국내 카드사는 EMV·3D Secure 도입, 간편결제 난립에 따른 보안정책 보완 등을 진행해 왔지만, 웹 애플리케이션 계층운영 관제의 빈틈은 여전히 노려졌습니다. 고객 신뢰를 자본으로 삼는 금융업에서, 보안은 비용이 아닌 핵심 자산입니다.

10) (고위험군) 72시간 액션 플랜

D-0 (오늘)

  • 앱에서 유출 여부 즉시 확인해외결제·키인거래 차단
  • 한도 대폭 축소(특히 온라인) → 재발급 신청
  • 간편결제·쇼핑몰 저장 카드 삭제

D+1

  • 자동결제 청구처 리스트·명세서 확보 → 결제수단 일괄 변경
  • 신용조회 알림 가입(토스·뱅크샐러드·나이스지키미 등)

D+3

  • 가족 구성원 대상 피싱 주의 공지
  • 회사에서 제공하는 안내·보상 절차 숙지(문자·앱 공지 확인)

마무리

신뢰는 ‘속도·투명성·재발방지’에서 돌아온다

이번 롯데카드 297만명, 200GB 유출 사태의 본질은 고객 신뢰의 위기입니다.

  • 속도: 신속한 사실 확인과 조치, 그리고 피해자 친화적 보상이 첫걸음.
  • 투명성: 유출 범위·원인·후속조치의 구체적 공개가 필요.
  • 재발방지: 토큰화·추가인증·런타임 보호·관제 고도화 같은 기술적 대책과, 보안 거버넌스의 상시 점검이 핵심.

고객으로서는 차단·재발급·모니터링의 3단 콤보가 최선의 방패입니다. 기업으로서는 보안은 비용이 아니라 생존임을 다시 상기해야 할 때입니다