![[자막뉴스] '국내 최고 보안 인증’ 자랑 하루도 못 간 롯데카드](https://image.ytn.co.kr/general/jpg/2025/0928/202509281748329346_t.jpg)
AD
롯데카드에서 유출된 고객 297만 명의 개인정보가 담긴 파일 중 56%는 암호화가 됐지만 나머지 44%는 그대로 유출이 되고 말았습니다.
[최용혁 / 롯데카드 정보보호실장 (지난 18일) : 외부로 유출된 파일은 중복으로 다운로드한 파일을 제거하게 되면 총 2708개의 파일로 확인됐고요. 이 중에 56% 정도에 해당하는 1,544개 파일은 암호화된 상태로 나갔고 나머지 1,195개는 평온 상태로 유출된 것을 확인했습니다.]
카드번호와 비밀번호 2자리, 유효기간과 CVC번호까지 노출된 고객 28만 명 중 9만 명은 다행히 암호화가 된 채 유출됐지만 나머지 19만 명은 그렇지 못해 부정사용 가능성에 노출이 됐습니다.
[최재웅 / 롯데카드 마케팅본부장 (지난 18일) : 카드 결제에 필요한 정보가 다수 포함된 고객으로 총 28만 명입니다. 이 중 9만 명은 암호화된 파일이 유출되었으며 당사의 서버 외에서 암호가 풀릴 가능성은 거의 없습니다.]
문제는 카드결제 핵심정보인 CVC번호가 유출됐다는 점인데 만약 해커가 해외에서 온라인 결제를 시도한다면 부정사용 피해가 발생할 수 있습니다.
따라서 학계에서는 지금이라도 금융당국이 업계 자율적으로 이뤄지는 CVC번호 암호화 저장을 엄격히 감독할 필요가 있다고 주장합니다.
[서지용 / 상명대 경영학부 교수(한국신용카드학회장) : CVC 암호화가 필요한 부분이라고 생각이 되거든요. 제도적으로는 암호화가 아니라고 하더라도 일단 감독당국에서 카드사들이 CVC를 암호화하도록 권유를 하고 실질적으로 통제를 한다면 가능할 것 같고요.]
지난 2022년 개정된 신용정보업감독규정의 관련 기준을 보면 사업자가 암호로 저장해야 할 대상을 '비밀번호'와 '생체인식정보' 등으로 규정하고 있는데 여기에 'CVC번호'를 추가할 필요가 있어 보입니다.
롯데카드는 국내 최고의 보안 관리체계 인증인 ISMS-P를 획득한 당일 해킹 공격을 당해 인증제도의 허점을 여실히 드러내기도 했습니다.
롯데카드 해킹 사고를 계기로 사업자의 보안역량 강화 못지않게 금융감독 당국과 개인정보 관리체계의 허점을 보완해야 할 필요성도 커지고 있습니다.
YTN 류환홍입니다.
영상편집ㅣ신수정
디자인ㅣ신소정
자막편집ㅣ이미영
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
[최용혁 / 롯데카드 정보보호실장 (지난 18일) : 외부로 유출된 파일은 중복으로 다운로드한 파일을 제거하게 되면 총 2708개의 파일로 확인됐고요. 이 중에 56% 정도에 해당하는 1,544개 파일은 암호화된 상태로 나갔고 나머지 1,195개는 평온 상태로 유출된 것을 확인했습니다.]
카드번호와 비밀번호 2자리, 유효기간과 CVC번호까지 노출된 고객 28만 명 중 9만 명은 다행히 암호화가 된 채 유출됐지만 나머지 19만 명은 그렇지 못해 부정사용 가능성에 노출이 됐습니다.
[최재웅 / 롯데카드 마케팅본부장 (지난 18일) : 카드 결제에 필요한 정보가 다수 포함된 고객으로 총 28만 명입니다. 이 중 9만 명은 암호화된 파일이 유출되었으며 당사의 서버 외에서 암호가 풀릴 가능성은 거의 없습니다.]
문제는 카드결제 핵심정보인 CVC번호가 유출됐다는 점인데 만약 해커가 해외에서 온라인 결제를 시도한다면 부정사용 피해가 발생할 수 있습니다.
따라서 학계에서는 지금이라도 금융당국이 업계 자율적으로 이뤄지는 CVC번호 암호화 저장을 엄격히 감독할 필요가 있다고 주장합니다.
[서지용 / 상명대 경영학부 교수(한국신용카드학회장) : CVC 암호화가 필요한 부분이라고 생각이 되거든요. 제도적으로는 암호화가 아니라고 하더라도 일단 감독당국에서 카드사들이 CVC를 암호화하도록 권유를 하고 실질적으로 통제를 한다면 가능할 것 같고요.]
지난 2022년 개정된 신용정보업감독규정의 관련 기준을 보면 사업자가 암호로 저장해야 할 대상을 '비밀번호'와 '생체인식정보' 등으로 규정하고 있는데 여기에 'CVC번호'를 추가할 필요가 있어 보입니다.
롯데카드는 국내 최고의 보안 관리체계 인증인 ISMS-P를 획득한 당일 해킹 공격을 당해 인증제도의 허점을 여실히 드러내기도 했습니다.
롯데카드 해킹 사고를 계기로 사업자의 보안역량 강화 못지않게 금융감독 당국과 개인정보 관리체계의 허점을 보완해야 할 필요성도 커지고 있습니다.
YTN 류환홍입니다.
영상편집ㅣ신수정
디자인ㅣ신소정
자막편집ㅣ이미영
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]