비밀번호·CVC도 유출?… 롯데카드, 소액결제도 문자로 알린다

롯데카드 해킹 사고의 피해 범위와 정도가 당초 예상보다 더 큰 것으로 알려졌다. 2014년 신용카드 유출 사태 때도 무사했던 '카드 비밀번호'와 '신용카드 CVC' 정보도 새어 나갔을 가능성이 나오고 있다. CVC 유출은 해외 부정사용을 유발할 수 있어 심각성이 크다. 롯데카드는 이에 대비해 5만원 이하 소액 거래에도 무료로 결제 내역을 소비자에게 안내할 예정이다.

17일 금융당국과 금융권에 따르면, 이번 사이버 침해 사고로 롯데카드의 온라인 결제 내역만이 아니라 민감한 개인신용정보도 일부 유출됐을 것으로 보인다. 특히 카드 비밀번호와 CVC(카드 뒷면 3자리 숫자)가 해커들에게 새어나갔을 가능성이 있다.

지난 4일 롯데카드는 조좌진 대표 이름의 사과문에서 "현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다"고 밝혔다. 유출된 정보 규모도 초기에는 1.7GB(기가바이트)로 알려졌다.

하지만 금융당국과 금융보안원 조사에서 당초 확인한 사실과 달리 생각보다 많은 양의 개인정보가 유출된 것으로 파악됐다. 롯데카드의 960만명 회원 수를 생각하면 유출 규모는 수백만명에 달할 수 있다는 추정도 나온다. 금융당국과 롯데카드는 이번 주 안으로 자세한 피해 규모와 향후 대책, 보상 방안 등을 발표한다. 조좌진 롯데카드 대표도 직접 대국민 사과를 할 예정이다.

카드 비밀번호와 CVC는 2014년 신용카드 개인정보 유출 사태 때도 살아남았던 정보다. 당시에는 이 2가지 정보를 제외하고, △고객 이름 △주민등록번호 △자택 전화번호 △집 주소 △이용 실적 △결혼 여부 △신용등급 등 최대 19개 항목이 새어나갔다. 신용정보회사 코리아크레딧뷰로(KCB) 직원이 동일한 정보를 일괄적으로 유출했기 때문이다.

이번에는 롯데카드의 온라인 결제 요청 내역이 해킹됐다. 고객마다 온라인상에서 다양한 방식으로 본인 인증을 하기에 어떤 개인정보가 새어나갔는지는 유출 건마다 다르다는 게 금융당국 설명이다. 금융당국 관계자는 "카드 비밀번호와 CVC가 유출되지 않았다고 확언할 수 없다"며 "모든 거래에 일괄적으로 똑같이 정보가 나간 건 아니고, 심각한 유출도 있고 아닌 경우도 있다"고 말했다.