티스토리 뷰
목차
지난해 8월, 롯데카드 서버가 해킹당했습니다. 전체 고객 960만 명 중 3분의 1에 달하는 297만 명의 정보가 새어나갔고, 그 중 75만 명의 주민번호·생년월일·연계정보(CI)까지 털렸습니다. 총 유출 규모는 200GB. 카드번호와 비밀번호, CVC까지 노출된 28만 명은 카드 부정 사용 피해 위험에 직접 노출된 상태입니다.
그런데 지난달 29일, 방송통신위원회가 뒤늦은 행정처분을 내렸습니다. 과태료는 고작 1,125만 원. 200GB짜리 정보가 새어나간 사건의 무게를 생각하면 사실상 솜방망이 처벌에 가깝습니다. 분노보다 허탈함이 먼저 드는 이유입니다.
많은 분들이 그렇게 생각하십니다. 하지만 롯데카드를 한 번이라도 사용한 적 있다면, 혹은 롯데계열 서비스에 가입한 적 있다면 남의 일이 아닐 수 있습니다. 더 무서운 건, 롯데카드에서 유출된 CI가 SK텔레콤 해킹(2025년 4월, 2,300만 명)과 따릉이 유출(450만 명) 같은 앞선 사고들과 결합될 수 있다는 점입니다.
개인정보는 하나씩 놓고 보면 별것 아닌 것 같지만, 여러 유출 데이터가 합쳐지면 정밀한 프로필이 됩니다. 내 이름, 전화번호, 생년월일, 주소, 카드번호가 한 세트로 묶이는 순간 — 명의도용, 보이스피싱, 대출 사기의 재료가 됩니다.
CI는 주민등록번호를 암호화해 만든 고유값으로, 금융·통신·공공서비스 전반에서 본인확인용으로 쓰입니다. 주민번호 대신 사용하는 안전장치라고 홍보되지만, 문제는 한 번 생성되면 평생 바꿀 수 없다는 점입니다. 주민등록번호가 유출됐을 때와 달리, CI는 재발급 자체가 불가능합니다. 피해가 발생해도 차단할 방법이 없는 구조입니다.
방통위 점검 결과, 롯데카드는 온라인 결제 서버 로그에 CI를 암호화하지 않고 평문(Plain Text) 상태로 저장하고 있었던 것으로 드러났습니다. 해커는 이를 수시로 빼낸 것입니다. 전문가들은 사모펀드 MBK파트너스가 수익 극대화에만 집중한 나머지 정보보안 투자를 지속적으로 소홀히 해온 것이 근본 원인이라고 지적합니다. 고객의 민감한 개인정보가 '비용'으로 취급된 셈입니다.
개인정보보호위원회는 96억 원의 과징금을 부과했지만, 방통위의 CI 유출 관련 과태료는 고작 1,125만 원입니다. 업계에서는 CI 전면 재발급이나 '생애주기 관리' 제도화 등 근본적인 대책이 필요하다고 목소리를 높이고 있지만, 관련 법령 개정은 2027년 5월로 미뤄진 상태입니다. 법이 피해를 따라가지 못하는 동안, 피해자는 지금 이 순간도 2차 범죄 위협에 노출돼 있습니다.
- 유출 여부 확인: KISA의 '털린 내 정보 찾기' 서비스(www.kidc.or.kr)에서 이메일·전화번호로 유출 여부를 무료 확인할 수 있습니다.
- 롯데카드 고객이라면: 고객센터(1588-8100)에 전화해 카드 재발급 또는 해외결제 차단을 신청하세요. 피해 고객은 카드사 측에 추가 보상을 요구할 수 있습니다.
- 전체 카드 이용자 필수 습관: 모든 금융앱 비밀번호를 각각 다르게 설정하고, 사용하지 않는 카드의 해외결제 기능은 반드시 차단해두세요.
- 보이스피싱 주의: 개인정보 유출 이후엔 '카드사 직원 사칭' 전화가 급증합니다. 어떤 기관도 전화로 비밀번호·OTP를 요구하지 않습니다.
SKT 해킹→롯데카드→따릉이 — 2025년부터 2026년까지 대형 개인정보 유출 사고가 연달아 터졌습니다. 각 사고에서 유출된 데이터가 다크웹에서 결합·거래되는 데 걸리는 시간은 불과 수개월입니다. 지금 이 시점은 2차 피해가 본격화되기 직전이라는 뜻입니다.
특히 CI의 경우, 유출된 사실을 알고도 아무 조치를 취하지 않으면 수년 후에 전혀 예상치 못한 방식으로 피해가 나타날 수 있습니다. 내 이름으로 대출이 개설되거나, 내 정보로 누군가가 보이스피싱 전화를 받는 상황이 그것입니다.
태그
© 2026