[비즈한국] 樂天信用卡(Lotte Card)發生了大規模個人資訊洩露事件。經核實,受影響的客戶多達297萬人,洩露的資料規模超過200GB。樂天信用卡在最終調查結果出爐後,隨即向公眾道歉,公佈了客戶支援方案,並承諾加大資訊保安投資。雖然樂天信用卡相對透明地公開了事故處理過程,但由於最初曾聲稱“並未發生個人資訊洩露”,而事實卻顯示有大量個人資訊外流,預計將引發強烈的輿論風波。

樂天信用卡因駭客攻擊導致297萬人的個人資訊被洩露。外洩的資料規模超過了200GB。樂天信用卡代表趙佐鎮(Cho Jwa-jin)在9月18日的事故說明會上親自發布了上述內容。目前,樂天信用卡正透過簡訊向被確認個人資訊洩露的297萬名客戶告知駭客攻擊事實及後續處理措施。
樂天信用卡最初向金融監管部門報告時稱洩露的資料規模約為1.7GB,但調查結果顯示,實際另有200GB的資訊被洩露。據樂天信用卡稱,駭客竊取資訊的時間段為8月13日至27日。外洩資訊是在透過被駭客入侵的線上伺服器進行結算的過程中產生並收集的,具體包括:關聯資訊(CI,加密後的個人識別資訊)、虛擬結算程式碼以及簡易結算服務等相關內容。
問題在於,有28萬名客戶面臨被非法盜刷的風險。這28萬名客戶是在7月22日至8月27日期間,在支付服務平臺或線上電商平臺完成新卡註冊的使用者。洩露的個人資訊包括:卡號、有效期、CVC碼等。
不過,樂天信用卡解釋稱,洩露的資訊中並不包含複製實體卡所需的資料,因此僅憑洩露的資訊無法線上下進行非法盜刷。在線上結算方面,由於設有簡訊(SMS)認證、生物識別認證等二次驗證程式,非法使用也較為困難。雖然理論上存在透過在終端直接輸入卡號的“手工輸入(Key In)”方式進行非法使用的可能性,但目前尚未發現此類案例。
樂天信用卡於8月26日首次發現了伺服器入侵跡象。隨後在8月31日,發現了線上結算伺服器中存在嘗試向外部傳輸資料的痕跡,並於9月1日上午10點向金融監管部門報案。然而,經核實,駭客植入惡意程式碼的時間最早可追溯至8月13日。鑑於樂天信用卡在事故發生約兩週後才察覺,外界對其安全防護能力不足提出了質疑。
事故經過如下:外部攻擊者(駭客)在8月14日至15日洩露了1.7GB的檔案,隨後在8月15日至27日期間,又額外竊取了線上結算處理過程中產生的2708個(排除重複項)日誌檔案。其中56%為加密檔案,其餘44%為以明文狀態洩露。問題在於8月14日至15日洩露的1.7GB檔案,駭客在竊取後刪除了伺服器內的原始檔案,導致樂天信用卡目前無法確定具體洩露了哪些內容。
樂天信用卡資訊保安室長崔勇赫(Choi Yong-hyuk)表示:“這是一種與一般入侵不同的手法。況且被駭客攻擊的是一臺幾乎沒有使用量的伺服器,所以發現較晚。駭客並非一次性帶走大量資料,而是零星竊取,因此耗費了較長時間。”針對事故發現後為何耗時較久才理清頭緒,趙代表解釋稱:“從復原200GB的加密檔案,到按客戶進行匹配並分類資訊,這一工作耗費了大量時間。相關工作於17日下午6點左右才最終完成。”

駭客攻擊的主體尚未查明。趙佐鎮代表回應稱:“網路搜查隊正在追蹤IP地址或雲服務商進行調查。根據駭客攻擊手法,推測可能是一個海外駭客組織,但目前還無法鎖定具體物件。”
針對客戶支援與保護措施,樂天信用卡公佈了以下方案:發生非法盜刷時全額賠償損失、優先安排補辦信用卡、擴充事故專用24小時諮詢中心人員、為資訊洩露受害者提供年底前無限額的10個月免息分期服務、免費提供金融損失補償服務“信用管家(Credit Care)”、免費提供用卡通知服務等。特別是針對存在非法盜刷風險的28萬名客戶,承諾在補辦新卡時,次年年費全額減免,且不設上限。
公司還計劃加大資訊保安投資。計劃在未來5年內投入1100億韓元用於資訊保安相關建設,並將資訊保安預算佔IT總預算的比例提升至15%。面對關於這是否源於削減成本的質疑,趙代表回應稱:“我們一直在持續增加內部人力和資訊保安投資費用,並聘請了白帽駭客等進行了相應準備,但現在看來確實還不夠充分。”
另一方面,樂天信用卡似乎難以逃避金融監管部門的處罰。2014年信用卡公司曾發生大規模個人資訊洩露事件,當時KB國民信用卡、NH農協信用卡和樂天信用卡均受到了金融委員會停業整頓及罰款的處罰。此外,16日新任金融監督院院長李燦振(Lee Chan-jin)在與信貸專業金融公司CEO的座談會上提到:“信用卡行業處理的是全國民的個人資訊,因此必須秉持零容忍原則,請代表理事親自出面,確保萬無一失地建立和實施安全對策。”他還強調:“金融監督院將進行嚴密的管理監督,對於違規案例將追究嚴格且沉重的責任。”
趙佐鎮代表似乎已下定決心為此次事態負責,在任期屆滿前卸任。趙代表於18日表示:“包括身為代表理事的我本人在內,將在年底前完成大規模的人員大換血。包括辭去代表職務在內,屆時將會有讓市場能夠接受程度的改革。作為樂天信用卡代表理事,我的最後使命就是將客戶損失降為零並儘量減少不便,我會以此決絕之心竭盡全力。”
趙代表自2020年3月就任樂天信用卡代表理事以來,分別於2022年3月和2024年3月兩次成功連任。其每屆任期為2年,目前的任期至2026年3月結束。