롯데카드 해킹 사고: 297만 명 정보유출 상세 분석과 대응 방안

2025년 롯데카드 해킹 사건으로 297만여 명의 고객 정보가 유출되었습니다. 이 중 28만 명은 카드번호, 유효기간, CVC, 비밀번호 등 민감정보가 포함되어 부정사용 가능성이 있습니다. 본 글에서는 유출 경위, 유출 정보 항목, 피해 규모, 롯데카드 및 금융당국의 대응, 보상 방안, 그리고 소비자·기업이 취해야 할 보안 예방 조치까지 상세하게 정리합니다.

▲ 롯데카드 해킹 사고: 297만 명 정보유출 상세 분석과 대응 방안(사진 : KBS뉴스)

 

롯데카드 해킹 사고: 297만 명 정보유출 상세 분석과 대응 방안

 

<목차>

1. 사건 개요 및 유출 규모
2. 유출된 정보의 항목과 범위
3. 사건 경위: 침해 시점부터 발견까지
4. 롯데카드 및 금융당국의 대응과 보상 제도
5. 유사 사건 예방을 위한 보안 강화 방안
6. 이용자 입장에서 해야 할 조치 및 유의사항

 

1. 사건 개요 및 유출 규모

• 발생 사실 요약

2025년 9월, 롯데카드는 해킹 공격을 받아 약 297만 명의 고객 개인정보가 유출된 사실이 확인되었습니다.

• 유출 데이터의 총량

최초 제출된 보고서에서는 약 1.7GB의 정보 유출이 의심되었으나, 금융위원회·금융감독원·금융보안원의 조사 결과 200GB가 넘는 데이터가 빠져나간 정황이 드러났습니다.

• 유출 비율

롯데카드 전체 회원 중 약 **30%**에 해당하는 규모입니다.

▲ 롯데카드 해킹 사고: 297만 명 정보유출 상세 분석과 대응 방안(사진 : 한겨레신문)

 

 

2. 유출된 정보의 항목과 범위

• 전반적 유출 정보 포함 항목

이름이나 성명 자체는 유출되지 않은 것으로 보고되었으나, 주민등록번호, CI(연계 정보), 내부 식별번호, 간편결제 서비스 정보 등이 포함됨.

• 민감정보 유출 대상자

전체 유출자 중 약 28만 명은 카드번호, 유효기간, CVC(카드 뒷면 3자리 보안코드), 카드 비밀번호 등의 핵심 금융정보가 유출됨. 이들은 페이 결제 서비스 또는 온라인 쇼핑몰 등에 카드 정보를 신규 등록한 사용자가 많음.

• 부정사용 가능성 여부

유출된 정보만으로 부정 결제가 즉시 가능하지는 않다는 것이 롯데카드 측 설명입니다. 특히 문자 메시지 인증, 2차 본인 확인 절차가 있는 거래에선 위험이 낮다고 봄. 다만 카드 정보를 직접 입력하는 키인(Key-in) 거래에서는 가능성이 존재함.

 

 

3. 사건 경위: 침해 시점부터 발견까지

• 해킹 침투 시점

해커는 2025년 8월 14일경 온라인결제 서버(WAS)에 침입한 것으로 파악됨.

• 침해 방법

.웹서버에 악성 코드 또는 웹셸(web shell)을 심어 파일을 압축하거나 로그 데이터를 분할해 외부로 전송함. 이후 유출 파일 일부는 압축을 해제한 뒤 서버 내 파일 삭제 등의 조치로 탐지가 늦음.

• 발견 및 보고 시점

약 두 주간의 침해 기간 이후인 8월 26일 서버에서 이상 징후 일부 탐지됨. 이후 8월 31일 낮 12시경 데이터 반출 시도 흔적 발견.
본격적인 신고는 9월 1일 아침 금융당국에 이루어졌고, 이후 정밀 조사가 시작됨.

▲ 롯데카드 해킹 사고: 297만 명 정보유출 상세 분석과 대응 방안(사진 : MBC뉴스)

4. 롯데카드 및 금융당국의 대응과 보상 제도

• 초기 대응과 고객 알림

유출 사실이 확인된 즉시 고객에게 개별 안내 메시지 발송. 특히 민감정보 유출 대상자 28만 명에게는 재발급 안내 및 사용 정지 조치 권고됨.

• 보상 및 특혜 제안

유출 관련 피해액 전액 보상을 약속했으며, 연말까지 무이자 10개월 할부 서비스 무료 제공, 재발급 시 연회비 면제 등의 혜택이 포함됨.

• 금융당국의 조치 및 제재 가능성

금융위원회는 긴급대책 회의를 열고 이번 사고를 계기로 금융권 보안 실태 점검 강화, 징벌적 과징금 제도 도입 검토, 보안 관리 위반사항 엄정 제재를 예고함.

• 보안 투자

롯데카드는 정보보호 인력을 강화하고, 보안 시스템 투자 확대 계획을 밝힘. 또한 인적 쇄신 가능성, 최고 경영자 책임 강화 등 조직 체계 변화도 언급됨.

5. 유사 사건 예방을 위한 보안 강화 방안

• 서버 보안 강화 및 취약점 정기 점검

서버 패치 관리 미흡, 웹쉘 삽입 가능성 등을 고려해 보안 패치 주기 엄격화, 취약 서버 실시간 모니터링 강화

• 이상 징후 탐지 및 로그 감시 체계 개선

데이터 유출 행위가 로그 또는 압축 파일 삭제 등 교묘한 방식으로 이루어졌으므로, 압축/로그 조작 감시, 파일 접근 권한 기록 및 알림 시스템 확보

• 본인 인증 다중화 및 거래 유형별 보안 수준 차등 적용

온라인 결제 시 2차 인증 강화, 키인 거래 시 별도의 검증 절차, 해외 가맹점 또는 고액 거래에 대한 사전 본인 확인 절차 강화

• 정보 유출 사고 대응 프로토콜 정비 및 내부 감시

사고 발생 시 탐지→보고→공개까지의 절차 명확화, 외부 전문가/감독기관과 협력, 내부 보안 책임자(CISO)의 권한 및 책임 선명화

 

 

6. 이용자 입장에서 해야 할 조치 및 유의사항

• 카드 비밀번호, 온라인 결제 정보 확인

본인이 속한 그룹(예: 28만 유출 대상자)에 해당하는지 롯데카드 홈페이지·고객센터를 통해 확인

• 본인 연락처 및 주소 정보 최신화

유출 통지 및 보상 안내 등이 제대로 전달되려면 연락처/주소 등록 정보가 최신인지 점검

• 신용카드 재발급 및 해외 결제 제한 고려

유출 대상자라면 카드 재발급 신청, 특히 CVC 및 비밀번호 유출된 경우 해외 온라인 결제 또는 키인 거래 차단 설정

• 거래 알림 설정 및 이상 거래 감시

SMS/앱 알림 활성화, 사용 내역 정기적으로 확인, 낯선 거래 여부 즉시 카드사에 신고

• 피싱·스미싱 주의

주민번호, 전화번호만으로도 스미싱 또는 피싱 시도가 이루어질 수 있으므로 문자/이메일에 포함된 링크나 요청에 유의

▲ 롯데카드 해킹 사고: 297만 명 정보유출 상세 분석과 대응 방안(사진 : 경향신문)

<결론>

롯데카드 정보유출 사건은 단순한 개인정보 유출을 넘어 고객의 금융정보 안전성과 신뢰에 큰 타격을 준 사건입니다. 개인정보가 어떻게 유출되었는지를 면밀히 분석해 보면, 보안 시스템의 취약점, 탐지 지연, 대응 절차의 불투명성 등이 두드러집니다. 기업은 이번 사건을 통해 보안 역량을 근본적으로 강화해야 하고, 당국은 제도적 처벌과 규제 체계 개선을 통해 유사 사고 재발을 막아야 합니다. 이용자 역시 자신의 정보가 유출되었는지 확인하고, 가능한 보안 조치를 취해야 합니다.

관련 뉴스(KBS뉴스) 바로가기

 

 

관절염과 마라톤: 달리기 해도 될까? 안전한 운동법·예방·재활 총정리

혼자일 때 더 편한 이유와 혼자서 행복해지는 법 – 서경석의 이야기

왕초보부터 풀코스 마라톤까지 완벽 준비법 | 마라톤 입문자 & 기록 향상자 가이드