롯데카드 297만명 정보 털렸다… 카드·CVC 번호까지
롯데카드가 공식 확인한 바에 따르면 해킹으로 297만명의 고객정보가 유출됐고, 이 중 약 28만명은 카드번호·유효기간·CVC 등 결제 핵심정보까지 노출되었습니다. 회사는 대국민 사과와 전액 보상 방침을 밝혔고, 금융당국은 강력 제재와 과징금 도입을 예고했습니다.
1) 무엇이, 언제, 어떻게 유출됐나
조사에 따르면 공격자는 온라인 결제용 서버(WAS)에 악성코드를 심어 8월 14~27일 사이 내부로 침투, 약 200GB의 데이터를 빼냈습니다. 회사는 9월 1일 당국에 보고했고, 금감원·금융보안원 합동 현장조사가 진행되었습니다. 이는 초기 회사 추정치(수GB 내외)를 크게 상회하는 규모입니다.
2) 유출된 정보와 위험도
- 일반 고객정보: 성명, 연락처 등 기본 식별정보(범위는 고객별 상이).
- 결제 핵심정보(약 28만명): 카드번호·유효기간·CVC, 일부는 비밀번호 앞 두 자리까지 노출. 카드사 키인(수기) 결제 취약 구간에서 부정사용 위험이 커집니다.
3) 피해 규모와 회사 발표의 핵심
유출 인원은 297만명으로 전체 회원(약 960만명) 중 30% 수준이며, 유출 용량은 약 200GB로 당초 추정(약 1.7GB)의 100배라는 분석도 나왔습니다. 회사는 기자회견에서 사과와 함께 부정사용 전액 보상을 약속했습니다.
4) 정부·당국의 대응
금융위원회·금감원은 현장조사 결과를 바탕으로 최고 수준의 제재를 예고했으며, 대형 보안사고에 대해 과징금 신설·상향 등 제도 개선도 추진합니다.
5) 지금 당장 해야 할 ‘개인 보호’ 체크리스트
| 영역 | 조치 |
|---|---|
| 카드 | 모바일앱/홈페이지에서 유출 여부 확인 후, 의심시 카드 재발급·한도 축소, 해외/키인 거래 차단 설정. |
| 결제내역 | 최근 3개월 내역 전수 점검, 모르는 결제 즉시 이의제기 및 차단. |
| 계정보안 | 롯데카드·간편결제·쇼핑몰 비밀번호 전면 교체, 동일/유사 비번 금지, 2단계 인증 활성화. |
| 알림 | 해외·고액 결제 실시간 알림 켜기, 낯선 문자URL/앱 설치 금지(피싱 차단). |
6) 기업·산업에 주는 경고
- 결제 데이터 최소화·토큰화와 저장 금지 원칙 준수(특히 CVC 등 카드 부정결제의 ‘열쇠’가 되는 정보).
- 24×7 관제(SIEM)와 EDR/XDR로 침투→측면이동→반출 전 과정을 실시간 탐지.
- 72시간 공지·보상 매뉴얼 상시화: 격리→조사→통지→복구의 표준 프로세스.
- PG·협력사까지 동일 규격의 공급망 보안 적용.
7) 사건 한눈에 보기
| 항목 | 내용 |
|---|---|
| 유출 인원 | 297만명 (회원 약 30%) |
| 결제 핵심정보 노출 | 약 28만명 (카드번호·유효기간·CVC 등) |
| 유출 용량 | 약 200GB (초기 추정치 대비 대폭 상회) |
| 침해 기간 | 8월 14~27일 |
| 보고 시점 | 9월 1일 당국 보고 |
| 당국 조치 | 강력 제재·과징금 제도 개선 추진 |
수치·일정은 당국·회사 발표 기준. 세부 범위는 추가 조사에 따라 변동될 수 있습니다.
8) 결론: “가장 민감한 28만명”을 먼저 보호하라
이번 사고의 본질은 규모(297만명)만이 아니라, 온라인 결제에서 즉시 악용 가능한 결제 핵심정보(약 28만명)가 새었다는 데 있습니다. 피해 가능성이 큰 구간부터 재발급·차단·모니터링을 선제적으로 시행하고, 기업은 CVC 등 민감정보의 저장·처리를 원천 차단하는 구조로 전환해야 합니다. 금융당국의 제재와 제도 개선이 병행될 때, 신뢰 회복의 출발선에 설 수 있습니다.