“8년간 취약점 방치했다”, 롯데카드 297만 명 정보유출, 첫 집단소송
– 과거 카드 소송 배상액(10만 원)의 3배인 1인당 30만 원 청구
– 8년간 방치된 보안 구멍… CVC 등 민감정보 포함 200GB 유출
– 법무법인 지향, ‘징벌적 손해배상’ 청구로 강력한 책임 물을 것
[서울, 2025년 9월 23일] – 법무법인 지향은 2025. 9. 22. 롯데카드에서 발생한 297만 명 규모의 고객정보 유출 사태와 관련하여 피해자들을 대리해 서울중앙지방법원에 1차 손해배상 청구 소송을 제기했다고 밝혔습니다. 이는 이번 사태에 대한 첫 번째 단체소송입니다.
이번 소송은 롯데카드가 8년 가까이 치명적인 보안 취약점을 방치하고, 국제 보안 표준을 위반하는 등 고객 정보 보호를 위한 최소한의 의무를 다하지 않아 발생한 명백한 인재(人災)임을 규명하고, 피해자들의 정신적 고통에 대한 정당한 배상을 목적으로 합니다.
8년간 방치된 보안 구멍, 200GB 고객 정보 유출로 이어져
금융감독당국 조사 결과, 이번 대규모 정보 유출 사태는 롯데카드의 심각한 보안 관리 부실이 직접적인 원인인 것으로 드러났습니다. 롯데카드는 2017년에 이미 보안 패치가 배포된 오라클 웹로직 서버의 치명적인 원격 코드 실행 취약점(CVE-2017-10271)을 8년간 그대로 방치했습니다. 공격자는 이 보안 구멍을 이용해 지난 8월 14일부터 27일까지 결제 서버에 손쉽게 침투했으며, 웹셸(Web Shell)을 설치해 서버 관리자 권한을 탈취했습니다. 이 과정에서 카드번호, 유효기간, CVC 등 민감한 금융 정보를 포함한 약 200GB의 고객 데이터가 외부로 유출되는 최악의 결과를 낳았습니다. 이는 기본적인 보안 패치 관리조차 소홀히 한 명백한 인재(人災)입니다.
이번 롯데카드 사태로 유출된 정보는 피해 규모와 심각성 면에서 전례를 찾기 어렵습니다.
- 1차 피해자(약 28만 3천 명): 카드번호, 유효기간, CVC(보안코드), 카드 비밀번호, 주민등록번호 등 결제에 즉시 악용될 수 있는 민감 정보가 암호화되지 않은 형태 또는 복호화 가능한 상태로 유출되어 즉각적인 금융사고 위험에 노출되었습니다.
- 2차 피해자(약 269만 명): 주민등록번호, 연계정보(CI), 가상 결제 코드 등 핵심 개인정보가 유출되어 보이스피싱, 명의도용 등 2차 범죄에 악용될 위험이 매우 크다. 2차 피해 위험은 금융당국이 공식적으로 경고한 사항입니다.
롯데카드의 명백한 과실과 기만적 대응, 비난 가능성 매우 높아
법무법인 지향은 롯데카드의 법적 책임 근거로 다음과 같은 네 가지 주요 과실을 지적했습니다.
첫째, 장기간 보안 취약점을 방치한 관리상 과실입니다. 2017년에 발견된 치명적 취약점을 8년간 조치하지 않아 기본적인 고객 정보 보호 의무를 소홀히 했습니다.
둘째, 국제 보안 표준(PCI DSS) 미준수 문제이다. 민감 인증정보의 저장을 금지하는 규정을 지키지 않아 정보 유출 시 피해 규모를 키우는 원인이 되었습니다.
셋째, 보안 투자 관련 경영상 판단입니다. 사모펀드 인수 후 정보보호 관련 투자를 줄여 온 것은 결과적으로 보안 시스템 전반의 안정성을 약화시키는 요인이 된 것으로 보입니다. 수익성만 좇아 보안 투자를 지속적으로 삭감하며 결국 대규모 참사를 자초했습니다.
마지막으로, 사고 후 대응의 부적절성입니다. 롯데카드는 사건 발생 초기, 피해 규모를 축소 보고하고 일부 사실과 다른 내용을 공지하는 등 투명성과 신뢰성을 저해하는 방식으로 고객을 기만하며 책임을 회피하려는 태도를 보였습니다.
개인정보 집단소송 경험이 풍부한 법무법인 지향은, 이는 기술적 과실을 넘어 기업 윤리와 사회적 책임을 망각한 행위로, 그 불법성이 매우 높다고 할 수 있다고 밝혔습니다.
징벌적 손해배상 책임 물을 것
이번 소송에서는 신용정보법과 개인정보보호법에 규정된 ‘징벌적 손해배상’ 책임을 적극적으로 물을 예정입니다. 롯데카드의 행위는 단순 과실이 아닌, 장기간 의무 방치와 고의적 은폐 시도가 결합된 ‘중대한 과실’에 해당하기 때문입니다. 2014년 국내 카드 3사 정보유출사고 당시 피해자들이 받은 배상은 1인당 10만 원 수준이었고, 이번 소송에서는 그 3배인 1인당 30만 원의 위자료를 청구하였습니다.
법무법인 지향의 김묘희 변호사는 “이번 사태는 기업이 고객의 신뢰를 배신하고 이윤을 위해 보안을 외면할 때 어떤 재앙이 발생하는지를 보여주는 전형적인 사례”라며, “피해자들이 겪는 정신적 고통과 잠재적 위험에 대해 1인당 30만 원의 위자료를 우선 청구하며, 향후 재판 과정에서 롯데카드의 고의성과 피해 규모 등을 추가로 입증하여 훨씬 무거운 법적 책임을 물을 것”이라고 강조했습니다.
법무법인 지향은 현재 홈페이지 등을 통해 추가 소송에 참여할 피해자를 모집하고 있으며, 이번 소송을 통해 금융회사의 개인정보 보호 책임에 대한 강력한 사회적 경종을 울리는 계기를 만들겠다고 밝혔습니다.
* 법무법인 지향 소개
법무법인 지향은 고객 정보를 불법으로 수집하여 판매한 홈플러스 사건에서 승소하여 기업의 기만적인 개인정보 수집 및 판매 관행에 경종을 울리고 소비자들의 정보주권을 보호하는 중요한 법적 선례를 만들었으며, 현재 국외에서도 대한출판문화협회 등 콘텐츠 사업자들을 도와 거대 플랫폼 기업인 애플, 구글의 인앱결제 수수료 정책에 맞서는 집단소송을 진행하며 독점적 시장구조에 맞서고 있습니다. 법무법인 지향은 이러한 전문성과 경험을 바탕으로 297만 명의 개인정보를 유출하고도 책임을 회피하는 롯데카드를 상대로 첫 집단소송을 제기하며 다시 한번 피해자들의 권리 구제에 앞장서고 있습니다.
‘롯데카드 정보유출’ 피해자, 첫 집단소송…“1명당 30만원 배상하라”|동아일보
‘롯데카드 정보유출’ 피해자, 첫 집단소송…”1명당 30만원 배상하라” – 뉴스1
(위임계약은 QR코드로 직접 체결 가능합니다.)
법무법인 지향
담당자: 김묘희 변호사
연락처: 02-6925-3288
이메일: sosong@jihyanglaw.com
