롯데카드 해킹 사태의 파장이 커지고 있다. 정보 유출 피해 규모가 예상보다 훨씬 큰 100만 명 이상에 이를 것이라는 전망이 나오면서다.

17일 금융업계에 따르면 금융위원회와 금융감독원은 18일 이번 사태 관련 회의를 열고 조사 내용을 발표한다. 금융당국 관계자는 “조사는 막바지 단계로 18일 오전에 마무리될 것으로 예상한다”며 “유출된 용량이나 회원 규모로 추정하면 피해 규모는 100만 명 이상이 될 가능성이 있다”고 말했다. 롯데카드 고객 수(법인 제외)는 지난달 기준 964만5000명이다. 롯데카드는 2019년 롯데그룹 계열사에서 분리돼 사모펀드 MBK에 인수됐다.

신재민 기자

당초 롯데카드가 금감원에 보고한 유출 데이터 규모는 1.7GB였다. 시장에서 피해자 규모를 수만 명 수준으로 추산한 이유다. 하지만 당국이 현장 검사 등을 통해 파악한 규모는 훨씬 심각한 것으로 알려졌다. 고객정보 유출 범위도 예상보다 커졌다. 롯데카드의 온라인 결제 내역뿐 아니라 신용카드 번호와 개인 신용정보 일부가 유출된 것으로 알려졌다.

이에 18일 오후 조좌진 롯데카드 사장이 대국민 사과에 나선다. 롯데카드는 또 개인정보가 유출된 고객에게 해당 사실을 알리는 문자를 발송할 예정이다. 2차 피해를 막기 위해 신속하게 카드 재발급이나 해지 절차를 안내하기 위해서다. 보상안 마련도 고심 중인 것으로 알려졌다. 보상안에는 탈퇴 회원을 대상으로 한 연회비 무차감 환불 등이 거론된다.

금융당국 고위 관계자는 “다행히 현재까지 유출 정보를 활용한 부정거래는 없는 것으로 확인돼 불안해하지 않아도 된다”고 전했다. 다만 금융당국은 부정 사용이 발생하면 롯데카드가 피해액 전액을 보상해야 한다는 점을 강조했다.

롯데카드를 인수한 MBK파트너스가 보안 투자를 제대로 하지 않았다는 지적도 나온다. 롯데카드가 사용해 온 결제 관리 서버는 약 10년 전 취약점이 발견돼 대부분 금융사가 보안 패치를 설치한 것인데, 롯데카드는 이를 적용하지 않은 것으로 전해진다. 이찬진 금감원장은 지난 16일 열린 여신전문회사 최고경영자(CEO) 간담회에서 “최근 금융권 사이버 침해 사고는 단기 실적에 치중해 장기 투자가 소홀해진 결과가 아닌지 뼈아픈 자성의 계기로 삼아야 한다”며 “위반 사례에 대해서는 엄정하고 무거운 책임을 물을 것”이라고 경고했다.