롯데카드 조좌진 대표이사는 23일 고객 정보 유출 사태와 관련해 “민감한 정보가 유출된 고객 28만명 중 66%인 18만4000명이 카드를 재발급하거나 비밀번호를 변경해 리스크가 차단된 상태”라고 밝혔다.
조 대표는 이날 국회 정무위원회 소속 국민의힘 의원들이 주최한 ‘롯데카드 개인정보 유출 피해자 보호 및 재발 방지 대책 간담회’에 참석해 “빠르면 이번 주, 늦어도 다음 주 중반까지 부정 거래 가능성을 최소화하기 위한 준비 단계를 마무리할 것”이라고 설명했다.
조 대표는 카드번호, 비밀번호, 유효기간, CVC 등 민감한 정보가 유출됐지만 “실물카드를 제작할 수는 없고, 온라인 결제는 추가 본인인증 절차가 필요하기 때문에 결제나 ATM 출금 등 부정 사용 가능성은 낮다”고 주장했다.
다만 “해외에서 일부 활용되는 키인 결제(단말기에 카드 정보를 직접 입력하는 방식)를 통한 부정 거래 가능성은 존재한다”며 “이 때문에 문자 등을 통해 카드 재발급을 안내하고 있으며, 해킹으로 인한 2차 피해는 전액 보상할 계획”이라고 말했다.
대주주인 MBK파트너스 측도 의원들의 질타를 받았다. 윤종하 MBK 부회장은 “정보보안 분야에 충분히 투자했다고 생각했지만 사고가 발생한 만큼 부족했다고 본다”며 “보안을 강화하고 경영진과 피해자 보호 대책을 논의하겠다”고 밝혔다.
강민국 의원은 MBK가 홈플러스 대주주인 점을 거론하며 “홈플러스 사태에 이어 또 사고가 났다 보니 ‘또BK’라는 말까지 나온다”며 “오는 국정감사에서 김병주 MBK 회장을 증인으로 채택할 예정”이라고 말했다.
김상훈 의원은 “국내 8개 카드사 가운데 롯데카드가 정보보호 예산을 가장 많이 줄였다”며 “MBK가 매각을 추진하고 있어 굳이 투자할 필요가 없다고 본 것 아니냐”고 따졌다.
금융보안원도 질타를 피하지 못했다. 금융보안원은 지난달 12일 롯데카드에 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 부여했다. ISMS-P는 사이버 침해 위협에 효과적으로 대응할 수 있는지, 기업의 정보보호 및 개인정보 관리 체계가 적절히 운영되는지를 종합적으로 심사하는 국내 최고 수준의 보안 인증으로 평가된다.
유영하 의원은 “금융보안원이 최고 등급 보안 인증을 내준 지 이틀 만에 해킹이 발생했다”며 “카드사는 보안이 튼튼하다고 믿었을 텐데 결국 뚫린 것 아니냐. 대국민 사과가 먼저”라고 비판했다.
