 ▲ 조좌진 롯데카드 대표이사 사장 등이 18일 서울 중구 부영태평빌딩에서 사이버 침해 사고에 대한 대고객 사과를 하고 있다. 2025.09.18. © 뉴시스 |
브레이크뉴스 최애리 기자= 롯데카드에서 최대 200GB 규모의 고객정보가 유출되면서 297여만명의 정보가 새어나간 것으로 드러났다. 이 가운데 28만명은 카드번호와 비밀번호 일부, CVC번호까지 유출돼 부정 사용 위험에 노출됐다.
롯데카드는 18일 서울 부영태평빌딩에서 긴급 언론브리핑을 열고 이번 사이버 침해 사고의 경과를 설명하고 대국민 사과에 나섰다. 조좌진 롯데카드 대표는 “고객정보가 유출된 총 회원 규모는 297만명에 달한다”며 “침해 사고로 인한 피해액 전액을 보상하겠다”고 밝혔다.
유출된 정보는 지난 7월 22일부터 지난달 27일 사이 온라인 결제 과정에서 생성·수집된 데이터로, 오프라인 결제와는 무관하다. CI(연계정보), 주민등록번호, 가상결제코드, 내부식별번호 등이 포함됐으며, 고객의 이름은 유출되지 않았다.
특히 28만명의 경우 카드번호와 비밀번호 2자리, CVC번호가 함께 유출돼 해외 일부 가맹점의 ‘키인(KEY-IN)’ 거래에서 부정 사용 가능성이 제기된다. 다만 롯데카드는 키인 결제 시도를 원천 차단하고 소명 후 승인 절차를 마련했으며, 현재까지 부정 사용 사례는 없다고 설명했다.
롯데카드는 피해 고객 전원에게 연말까지 무이자 10개월 할부, 금융피해 보상 서비스 ‘크레딧케어’, 카드사용 알림 서비스를 무료로 제공한다. 또 최우선 재발급 대상인 28만명에게는 재발급 시 차년도 연회비를 전액 면제할 방침이다.
롯데카드는 보안 강화를 위해 온라인 결제 시스템의 서버와 소프트웨어 환경을 전면 교체하고, 해외 결제 시 본인 확인 절차를 강화한다. 향후 5년간 1100억원을 투자해 정보보호 예산 비중을 업계 최고 수준인 15%까지 확대할 계획이다.
이번 사고는 지난달 14일 발생했으나, 롯데카드가 이를 인지한 것은 17일 뒤인 같은 달 31일이었다. 초기에는 1.7GB 규모가 유출된 것으로 파악했으나 실제 피해 규모는 200GB로 확인됐다. 조 대표는 “압축 파일 흔적이 교묘하게 삭제돼 파악이 지연됐다”며 “CEO로서 책임을 통감하며 연말까지 대대적인 인적 쇄신을 단행하겠다”고 말했다.
일각에서는 최대주주인 사모펀드 MBK파트너스가 수익 극대화에 치중하며 보안 투자가 미흡했다는 지적도 제기된다. 이에 대해 조 대표는 “MBK파트너스 인수 이후 정보보호 투자를 지속 확대해왔지만, 이번 사태를 막기에는 충분치 않았다”며 “CEO로서 무거운 책임을 느낀다”고 밝혔다.
한편, 롯데카드는 지난 2019년 MBK파트너스에 매각됐다. 당시 MBK파트너스는 신규 브랜드를 만드는 대신 기존 브랜드명인 롯데카드를 유지하는 형태로 계약했다. 이 때문에 롯데그룹 측에선 자신들과 상관없는 이번 해킹 사태로 애꿏은 비난을 받는 등 악영향이 있지는 않을지 우려하고 있는 분위기다.
*아래는 위 기사를 '구글 번역'으로 번역한 영문 기사의 [전문]입니다. '구글번역'은 이해도 높이기를 위해 노력하고 있습니다. 영문 번역에 오류가 있을 수 있음을 전제로 합니다.<*The following is [the full text] of the English article translated by 'Google Translate'. 'Google Translate' is working hard to improve understanding. It is assumed that there may be errors in the English translation.>
Lotte Card Issues Public Apology after Leak of Customer Information of 2.97 Million People
Lotte Card has revealed that up to 200GB of customer information, covering approximately 2.97 million individuals, was leaked. Of these, 280,000 individuals were exposed to fraudulent use, with card numbers, partial passwords, and even CVC numbers leaked.
Lotte Card held an emergency press briefing at the Booyoung Taepyeong Building in Seoul on the 18th to explain the details of the cyber breach and offer a public apology. Lotte Card CEO Cho Jwa-jin stated, "The total number of customers whose customer information was leaked amounts to 2.97 million. We will compensate for the full amount of damages caused by the breach."
The leaked information was generated and collected during online payments between July 22 and April 27 and is unrelated to offline transactions. The leaked information included CI (linked information), resident registration numbers, virtual payment codes, and internal identification numbers. Customer names were not leaked.
In the case of 280,000 customers, their card numbers, two-digit PINs, and CVC numbers were leaked, raising concerns about the possibility of fraudulent use in "KEY-IN" transactions at some overseas merchants. However, Lotte Card stated that it has blocked all attempts at KEY-IN payments and has established an approval process after providing explanations. To date, there have been no cases of fraudulent use.
Lotte Card will offer all affected customers a 10-month interest-free installment plan until the end of the year, the financial damage compensation service "Credit Care," and free card usage notification services. Furthermore, the 280,000 customers who are eligible for priority reissue will have their annual fee waived for the following year.
To strengthen security, Lotte Card will completely replace the servers and software environment of its online payment system and strengthen identity verification procedures for overseas transactions. It plans to invest 110 billion won over the next five years to increase its information security budget to 15%, the highest level in the industry.
While the incident occurred on the 14th of last month, Lotte Card was not aware of it until 17 days later, on the 31st of the same month. Initially, it was estimated that 1.7GB of data was leaked, but the actual damage was confirmed to be 200GB. CEO Cho stated, "The traces of the compressed files were cleverly deleted, delaying our detection." He added, "As CEO, I feel a deep sense of responsibility and will implement a major personnel overhaul by the end of the year."
Some have pointed out that MBK Partners, the largest shareholder and a private equity fund, focused on maximizing profits and underinvested in security. CEO Cho stated, "While we have continued to expand our investment in information security since the acquisition of MBK Partners, it was not enough to prevent this incident. As CEO, I feel a heavy sense of responsibility."
Meanwhile, Lotte Card was sold to MBK Partners in 2019. At the time, MBK Partners agreed to retain the existing Lotte Card brand name rather than create a new one. Consequently, Lotte Group is concerned that this hacking incident, which had nothing to do with them, could have negative repercussions, including receiving unfair criticism.
