롯데카드는 또 다시 보안 참사라는 오명을 썼다. 업계 5위권 카드사, 그 이름이 무색하게 297만 명(전체 회원 3분의 1)에 달하는 개인정보가 외부 해킹으로 유출됐지만, 회사는 “알지 못했다”며 모든 상황에서 뒤늦은 반응만 되풀이했다.
유출된 데이터는 카드번호, 유효기간, 보안코드(CVC)부터 주민번호와 결제코드, 내부 식별값, 가상결제코드 등 실질적 범죄 악용이 가능한 모든 핵심 정보가 다 빠져나갔다.
사고는 이미 8월 14일부터 시작됐다. 그러나 롯데카드는 8월 31일이 되어서야 “작은 분량만, 1.7GB만”이라고 금융당국에 축소 보고했다. 실상은 200GB나 유출된 것으로 조사됐다.
이 과정에서도 고객들에게 단 한 차례도 선제적 위험이 공지되지 않았다. 리스크가 커진 뒤에야 언론과 시민단체 압박에 못 이겨 “200GB”, “297만 명”을 뒤늦게 공개했다.
특히 28만 명은 CVC까지 털려 키인(직접입력) 결제 뚫리는 고위험군. 하지만 회사는 “2차 피해 생기면 책임지겠다”는 말만 할뿐, 근본적인 데이터 방어와 조치, 실질 신원회복 지원책은 내놓지 않았다.
269만 명도 CI·주민번호 등 주요 개인정보가 유출됐지만 “이 정보만으론 부정사용 어렵다”며 안일하게 대응했다.
사고가 알려진 18일, 조좌진 대표는 기자 앞에서 “진심으로 죄송하다”고 고개를 숙였다. 그러나 마치 관행처럼 반복된 “피해액 전액 보상”, “무이자 10개월 할부”, “5년 1,100억 투자”라는 뒷북 대책들은 이미 폭넓은 비판과 불신의 대상이 됐다.
시민단체들은 2014년 카드3사 유출, 2019년 등 수차례 반복된 업계 개인정보 사고를 지적하며 “또 약속, 또 매뉴얼·보도자료, 결국 바뀌는 건 없다. 소비자만 매번 고통과 불안, 그리고 재발 두려움을 떠안는다”고 맹비판했다.
정보통신망법 강화, 사고 데이터의 즉각 연계 차단 등 ‘실질 책임전가·재발 방지책’ 없이는 롯데카드를 비롯한 대형금융기업들의 보안 무책임은 언제든 반복된다는 경고도 잇따랐다.
