롯데카드 해킹 파장, 피해 규모 수백만 명까지 번지나

롯데카드에서 발생한 대규모 해킹 사건이 당초 알려진 것보다 훨씬 심각한 것으로 드러났다. 유출된 정보의 양은 최초 보고보다 약 100배 늘어난 200GB에 달할 수 있으며, 피해자 규모도 수만 명을 넘어 수백만 명에 이를 가능성이 제기된다. 아직 유출 정보가 실제 부정 거래에 사용된 정황은 없지만, 기업의 보안 관리와 대응 체계가 도마 위에 오르며 금융권 전반의 신뢰가 흔들리고 있다.

해킹은 어떻게 일어났나

금융당국 조사에 따르면 해킹은 2025년 8월 14일부터 15일 사이, 롯데카드 온라인 결제 서버를 통해 발생했다. 공격자는 서버의 취약점을 이용해 대규모 데이터를 외부로 빼돌린 것으로 파악된다. 문제는 롯데카드가 이 사실을 8월 31일에야 인지했다는 점이다. 무려 17일 동안 해킹은 지속되었고, 회사 내부에서 이상 징후를 파악하지 못했다는 사실은 큰 충격을 안겼다.

피해 규모, 초기 보고의 100배

롯데카드는 처음 금융당국에 피해 규모를 약 1.7GB라고 보고했다. 그러나 금융감독원과 금융보안원의 현장 검증 결과, 실제 유출 데이터는 무려 200GB에 달하는 것으로 추산됐다. 이는 단순한 보고 오류를 넘어 기업이 피해 상황을 축소하려 한 것 아니냐는 의혹까지 불러일으켰다.

피해자 수 역시 “수만 명”에서 “100만 명 이상”으로, 최악의 경우 “수백만 명”에 달할 수 있다는 전망까지 나온다. 고객 카드 결제 내역, 카드 번호, 개인 신용정보 일부가 포함된 것으로 보이며, 일부 데이터는 암호화조차 되지 않은 상태였다는 보도가 이어졌다.

암호화되지 않은 정보의 위험성

특히 논란이 되는 대목은 유출된 데이터 중 일부가 암호화되지 않은 상태였다는 점이다. 카드 뒷면의 CVC 번호, 결제 요청 내역 등이 그대로 노출됐을 가능성이 있다는 의혹이 제기되면서 불안은 커지고 있다. 금융당국은 정확한 데이터 항목을 확인 중이지만, 고객 입장에서는 “나도 피해자인가”라는 공포가 확산되고 있다.

현재까지는 해킹된 정보가 실제 결제나 부정 거래에 사용된 사례는 보고되지 않았다. 그러나 보안 전문가들은 “유출 정보가 다크웹 등에 흘러들어가면 2차 피해로 이어질 수 있다”며 “지금은 피해가 가시화되지 않았을 뿐, 위험은 여전히 존재한다”고 경고한다.

기업 보안 관리 허점 지적

이번 사건을 두고 롯데카드의 보안 관리 체계 전반이 허술했다는 비판이 쏟아지고 있다. 업계에서는 오래 전부터 알려진 서버 취약점이 방치되었을 가능성을 지적한다. 일부 전문가는 이번 공격이 과거에 이미 패치가 제공된 오라클 웹로직(WebLogic) 취약점을 이용했을 수 있다고 분석한다. 만약 사실이라면 “예방 가능한 해킹을 막지 못했다”는 지적을 피하기 어려울 전망이다.

또한 롯데카드의 정보보호 투자 비율이 최근 몇 년간 줄어들었다는 점, 보안 점검과 감사 횟수가 부족했다는 점도 도마에 올랐다. 단순한 기술적 실패가 아니라 관리 부실의 결과라는 평가가 우세하다.

늦은 인지와 축소 보고 논란

롯데카드가 해킹 사실을 제때 인지하지 못한 것도 문제지만, 피해 규모를 지나치게 축소해 보고했다는 비판은 더 큰 논란을 낳고 있다. 고객 보호보다 기업 이미지 관리에 급급했다는 의혹이 제기되면서, 피해자들의 불신은 더욱 커지고 있다.

한 보안 전문가는 “정보 유출 규모를 즉시, 정확하게 알리기 어려운 점은 이해할 수 있지만, 100배 차이는 단순한 착오로 설명하기 힘들다”며 “금융회사의 기본 신뢰가 흔들릴 수 있다”고 꼬집었다.

금융당국과 기업의 대응

금융감독원과 금융보안원은 긴급 대응에 나섰다. 현장 점검을 통해 피해 범위를 확인하고, 롯데카드에 고객 보호 대책 마련을 지시했다. 롯데카드는 피해 고객을 대상으로 카드 재발급을 진행하고 있으며, 연회비 환불이나 탈퇴 고객 보상 방안도 검토 중이다.

조좌진 롯데카드 대표는 대국민 사과와 함께 구체적인 보호 조치를 발표하겠다고 밝혔다. 그러나 피해 규모와 성격이 워낙 크기 때문에, 고객 신뢰를 회복하기는 쉽지 않을 전망이다.

금융권 전체에 드리운 그림자

이번 사건은 단순히 롯데카드 한 회사의 문제가 아니다. 금융권 전체가 비슷한 보안 위협에 노출돼 있다는 경고로 읽힌다. 해킹은 기술의 문제가 아니라 관리·투자·문화의 문제라는 지적도 설득력을 얻고 있다.

보안 전문가들은 “정보보호 예산을 비용이 아니라 생존을 위한 투자로 봐야 한다”며 “이번 사건은 금융업계 전반이 보안 태세를 재정비해야 한다는 신호”라고 강조한다.

롯데카드 해킹 사건은 피해 규모, 기업 대응, 금융권 보안 태세 등 여러 차원에서 심각한 문제를 드러냈다. 피해가 아직 본격적으로 현실화되지 않았다고 해서 안심할 수는 없다. 정보 유출은 시간이 지나면서 2차, 3차 피해로 이어지는 경우가 많기 때문이다. 이번 사건은 기업의 보안 의무와 정부의 감독 기능, 그리고 금융 소비자 보호 체계가 다시 설계되어야 함을 보여주는 경고음이다.