[비즈한국] ロッテカードで大規模な個人情報流出事故が発生した。情報流出が確認された顧客数は297万人、データ規模は200ギガバイト(GB)を超えることが確認された。ロッテカードは最終調査結果が出た直後、国民への謝罪とともに顧客支援策を発表し、情報保護への投資拡大を約束した。ロッテカードは比較的透明性を持って事故の経過を公開し対応にあたったが、当初「個人情報の流出はなかった」と発表していたこととは異なり、大規模な個人情報の漏洩が明らかになったことで激しい余波が予想される。

ロッテカードでハッキング事故が発生し、297万人の個人情報が流出した。外部に流出した情報の規模だけで200GBを超える。趙佐鎮ロッテカード代表は、9月18日の事故ブリーフィングを通じてこの事実を自ら発表した。ロッテカードは個人情報の流出が確認された297万人の顧客に対し、ショートメッセージ(SMS)でハッキングの事実と対応策を案内している。
ロッテカードは金融当局に最初に報告した際、流出したデータ規模を1.7GB程度としていたが、調査の結果、200GB規模の追加情報流出が判明した。ロッテカードによると、ハッキングにより情報が流出したのは8月13日から27日までだ。ハッキングされたオンラインサーバーを通じて決済する過程で生成・収集された情報が流出し、これには△連携情報(CI、暗号化された個人識別情報)△仮想決済コード△簡易決済サービスなどが含まれる。
問題は、不正決済による被害を受ける可能性がある顧客が28万人に達する事実である。この28万人は、7月22日から8月27日の間にペイ決済サービスやオンラインコマースに新規でカードを登録した顧客だ。流出した個人情報には、△カード番号△有効期限△CVC番号などが該当する。
ただし、ロッテカードは実物のカード複製に必要な情報は含まれていないため、流出した情報だけを使ってオフラインで不正決済を行うことは不可能だと説明した。オンライン決済についても、SMS認証や生体認証などの二次手続きがあるため不正利用は困難だと説明した。ただし、端末に直接カード情報を入力する「キーイン(Key In)」方式での不正利用の可能性はあるが、現在のところ事例は確認されていない。
ロッテカードがサーバー侵入の痕跡を最初に発見したのは8月26日だ。その後、8月31日にオンライン決済サーバーから外部への情報持ち出しを試みた痕跡を発見し、9月1日午前10時に金融当局へ届け出た。しかし、ハッカーがオンライン決済サーバーに悪性コードを最初に仕込んだのは8月13日と確認された。このことから、ロッテカードが事故を認知するまでに2週間ほど経過しているため、セキュリティが不十分だったのではないかという指摘が出ている。
事故の経緯は以下の通りだ。外部の攻撃者(ハッカー)は8月14〜15日に1.7GB規模のファイルを流出させた後、8月15〜27日にオンライン決済の専門処理過程で発生した2708個(重複を除く)のログファイルを追加で盗み出した。このうち56%が暗号化されたファイルで、残りの44%は平文状態で流出した。問題は8月14〜15日に流出した1.7GBのファイルで、ハッカーがファイル流出後にサーバー内のファイルを削除したため、ロッテカード側はどのような内容が流出したのか確認できていない状態だ。
チェ・ヨンヒョク・ロッテカード情報保護室長は、「一般的な侵害とは異なる手口だった。さらに、使用量がほとんどないサーバーがハッキングされたため、認知が遅れた」とし、「ハッカーが大量の情報を一度に持ち出さず、少しずつ持ち出したため時間がかかった」と回答した。事件発見後、内容の把握まで時間がかかった理由について、趙代表は「200GBの暗号化されたファイルを復旧して顧客ごとに照合し、情報を分類する作業に時間を要した。この作業が17日午後6時頃に完了した」と釈明した。

ハッキング攻撃の主導者はまだ特定できていない。趙佐鎮代表は「サイバー捜査隊がIPやクラウド業者を追跡して調査している」とし、「ハッキングの手口から海外のハッカー集団と推定されるが、特定には至っていない状況だ」と答えた。
ロッテカードは顧客支援と保護措置として、△不正使用発生時の被害額全額補償△カード再発行の優先措置△侵害事故専用の24時間相談センターの増員△情報流出対象者への年内までの金額制限のない10ヶ月無利子分割払い提供△金融被害補償サービス『クレジットケア』の無料提供△カード使用通知サービスの無料提供などを案内した。特に不正決済の可能性がある28万人に対しては、カード再発行時に次年度の年会費を無制限で免除すると発表した。
情報保護への投資も拡大する。今後5年間で1100億ウォンの情報保護関連投資を実施し、IT予算に対する情報保護予算の割合を15%まで引き上げる計画だ。コスト削減が原因ではないかという指摘に対し、趙代表は「社内人材と情報保護への投資費用を継続的に増やし、ホワイトハッカーを採用するなどそれなりに備えてきたが、十分ではなかったようだ」と答えた。
一方、ロッテカードは金融当局の処分を免れるのは難しいとみられる。2014年にもカード会社の個人情報流出事件により、KB国民カード、NH農協カード、ロッテカードが金融委員会から営業停止および過料処分を受けたことがある。さらに16日、イ・チャンジン新任金融監督院長が与信専門金融会社のCEOとの懇談会で、「カード業界は全国民の情報を扱っているという点で無寛容原則を適用する。代表取締役が直接乗り出し、セキュリティ対策の樹立と施行に万全を期してほしい」とし、「金監院は緻密に管理・監督し、違反事例に対しては厳正かつ重い責任を問う」と言及した。
趙佐鎮代表は事態の責任を負い、任期満了前に退任する決心をしたものとみられる。趙代表は18日、「代表取締役である私を含め、年内までに大規模な人的刷新を完了する。代表職の辞任を含め、市場が納得できるレベルの刷新を行う」とし、「顧客の被害をゼロにし、不便を最小限に抑えることが、ロッテカードの代表取締役としての最後の責務であるという決意を持って最善を尽くす」と明かした。
趙代表は2020年3月にロッテカード代表取締役に就任した後、2022年3月、2024年3月と3回連続で再任に成功した。在任期間は2年で、現在の任期は2026年3月までである。