주메뉴바로가기본문바로가기
비즈한국 비즈한국

现场
“包含代表理事在内,年底前完成人员大换血”…乐天信用卡为何在处理个人信息泄露问题上迟了一步?

本文由AI自动翻译。与韩语原文相比可能存在误差。  Read original in Korean →

[비즈한국] 乐天信用卡(Lotte Card)发生了大规模个人信息泄露事件。经核实,受影响的客户多达297万人,泄露的数据规模超过200GB。乐天信用卡在最终调查结果出炉后,随即向公众道歉,公布了客户支持方案,并承诺加大信息安全投资。虽然乐天信用卡相对透明地公开了事故处理过程,但由于最初曾声称“并未发生个人信息泄露”,而事实却显示有大量个人信息外流,预计将引发强烈的舆论风波。

9月18日举行的乐天信用卡黑客攻击事故说明会上,包括乐天信用卡代表赵佐镇(左起第五位)在内的主要管理层向公众致歉。照片=沈志英记者
9月18日举行的乐天信用卡黑客攻击事故说明会上,包括乐天信用卡代表赵佐镇(左起第五位)在内的主要管理层向公众致歉。照片=沈志英记者

乐天信用卡因黑客攻击导致297万人的个人信息被泄露。外泄的数据规模超过了200GB。乐天信用卡代表赵佐镇(Cho Jwa-jin)在9月18日的事故说明会上亲自发布了上述内容。目前,乐天信用卡正通过短信向被确认个人信息泄露的297万名客户告知黑客攻击事实及后续处理措施。

乐天信用卡最初向金融监管部门报告时称泄露的数据规模约为1.7GB,但调查结果显示,实际另有200GB的信息被泄露。据乐天信用卡称,黑客窃取信息的时间段为8月13日至27日。外泄信息是在通过被黑客入侵的在线服务器进行结算的过程中产生并收集的,具体包括:关联信息(CI,加密后的个人识别信息)、虚拟结算代码以及简易结算服务等相关内容。

问题在于,有28万名客户面临被非法盗刷的风险。这28万名客户是在7月22日至8月27日期间,在支付服务平台或在线电商平台完成新卡注册的用户。泄露的个人信息包括:卡号、有效期、CVC码等。

不过,乐天信用卡解释称,泄露的信息中并不包含复制实体卡所需的数据,因此仅凭泄露的信息无法在线下进行非法盗刷。在在线结算方面,由于设有短信(SMS)认证、生物识别认证等二次验证程序,非法使用也较为困难。虽然理论上存在通过在终端直接输入卡号的“手工输入(Key In)”方式进行非法使用的可能性,但目前尚未发现此类案例。

乐天信用卡于8月26日首次发现了服务器入侵迹象。随后在8月31日,发现了在线结算服务器中存在尝试向外部传输数据的痕迹,并于9月1日上午10点向金融监管部门报案。然而,经核实,黑客植入恶意代码的时间最早可追溯至8月13日。鉴于乐天信用卡在事故发生约两周后才察觉,外界对其安全防护能力不足提出了质疑。

事故经过如下:外部攻击者(黑客)在8月14日至15日泄露了1.7GB的文件,随后在8月15日至27日期间,又额外窃取了在线结算处理过程中产生的2708个(排除重复项)日志文件。其中56%为加密文件,其余44%为以明文状态泄露。问题在于8月14日至15日泄露的1.7GB文件,黑客在窃取后删除了服务器内的原始文件,导致乐天信用卡目前无法确定具体泄露了哪些内容。

乐天信用卡信息安全室长崔勇赫(Choi Yong-hyuk)表示:“这是一种与一般入侵不同的手法。况且被黑客攻击的是一台几乎没有使用量的服务器,所以发现较晚。黑客并非一次性带走大量数据,而是零星窃取,因此耗费了较长时间。”针对事故发现后为何耗时较久才理清头绪,赵代表解释称:“从复原200GB的加密文件,到按客户进行匹配并分类信息,这一工作耗费了大量时间。相关工作于17日下午6点左右才最终完成。”

乐天信用卡代表赵佐镇表示:“包含辞去代表职务在内,我将在年底前进行大规模的人员大换血。” 照片=沈志英记者
乐天信用卡代表赵佐镇表示:“包含辞去代表职务在内,我将在年底前进行大规模的人员大换血。” 照片=沈志英记者

黑客攻击的主体尚未查明。赵佐镇代表回应称:“网络搜查队正在追踪IP地址或云服务商进行调查。根据黑客攻击手法,推测可能是一个海外黑客组织,但目前还无法锁定具体对象。”

针对客户支持与保护措施,乐天信用卡公布了以下方案:发生非法盗刷时全额赔偿损失、优先安排补办信用卡、扩充事故专用24小时咨询中心人员、为信息泄露受害者提供年底前无限额的10个月免息分期服务、免费提供金融损失补偿服务“信用管家(Credit Care)”、免费提供用卡通知服务等。特别是针对存在非法盗刷风险的28万名客户,承诺在补办新卡时,次年年费全额减免,且不设上限。

公司还计划加大信息安全投资。计划在未来5年内投入1100亿韩元用于信息安全相关建设,并将信息安全预算占IT总预算的比例提升至15%。面对关于这是否源于削减成本的质疑,赵代表回应称:“我们一直在持续增加内部人力和信息安全投资费用,并聘请了白帽黑客等进行了相应准备,但现在看来确实还不够充分。”

另一方面,乐天信用卡似乎难以逃避金融监管部门的处罚。2014年信用卡公司曾发生大规模个人信息泄露事件,当时KB国民信用卡、NH农协信用卡和乐天信用卡均受到了金融委员会停业整顿及罚款的处罚。此外,16日新任金融监督院院长李灿振(Lee Chan-jin)在与信贷专业金融公司CEO的座谈会上提到:“信用卡行业处理的是全国民的个人信息,因此必须秉持零容忍原则,请代表理事亲自出面,确保万无一失地建立和实施安全对策。”他还强调:“金融监督院将进行严密的管理监督,对于违规案例将追究严格且沉重的责任。”

赵佐镇代表似乎已下定决心为此次事态负责,在任期届满前卸任。赵代表于18日表示:“包括身为代表理事的我本人在内,将在年底前完成大规模的人员大换血。包括辞去代表职务在内,届时将会有让市场能够接受程度的改革。作为乐天信用卡代表理事,我的最后使命就是将客户损失降为零并尽量减少不便,我会以此决绝之心竭尽全力。”

赵代表自2020年3月就任乐天信用卡代表理事以来,分别于2022年3月和2024年3月两次成功连任。其每届任期为2年,目前的任期至2026年3月结束。

本文由AI自动翻译。与韩语原文相比可能存在误差。
심지영 기자

금융, 가상자산, 핀테크, 투자 업계 중심으로 취재하고 있습니다. 언제든 제보주세요.

jyshim@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지