The Lotte Card hacking incident, which may have compromised the personal information of millions of customers, has raised concerns about potential damage to Lotte Group’s brand image, according to industry officials. Many consumers still associate the card issuer with Lotte Group, despite Lotte Card's largest shareholder being private equity firm MBK Partners, which acquired the company in 2019 and has had no management ties to Lotte Group since.
Lotte Card reported the hacking incident to the Financial Supervisory Service (FSS) on August 31. An on-site inspection by the FSS began on September 2 and is currently in its final stages, with results expected to be released soon.
Initially, Lotte Card estimated the breach involved approximately 1.7 gigabytes of leaked data. However, further inspections indicate that the breach may be more extensive, with the number of victims potentially reaching hundreds of thousands or even millions, considering Lotte Card has 9.6 million members.
An FSS official stated, “The scope of the damage is likely much greater than originally identified. Inspection results are expected to be disclosed this week if verification is completed.” The FSS, along with the Financial Security Institute, is assessing potential secondary damages amid concerns that the leaked data could facilitate financial crimes.
The incident has also highlighted Lotte Card’s inadequate security measures. The company only became aware of the hacking on August 31, 17 days after the attack occurred, leading to criticism over its delayed response.
Unexpectedly, the repercussions are affecting Lotte Group, with consumers potentially viewing the breach as indicative of weaknesses in the group's overall security. A retail industry insider noted that “few people realize that MBK Partners is Lotte Card’s main shareholder. Most still think Lotte Card is part of Lotte Group.”
In 2017, Lotte Group transitioned to a holding company structure, which prohibited it from owning financial subsidiaries under regulations designed to separate industrial and financial capital. Consequently, Lotte Card and Lotte Insurance were sold to MBK Partners and JKL Partners, respectively, in 2019.
MBK Partners retained the name “Lotte Card” to avoid the costs and potential loss of customer trust associated with launching a new brand. Industry experts have criticized MBK for prioritizing profit over necessary security investments, as vulnerabilities in Lotte Card's payment management servers had been identified nearly a decade ago, while most financial institutions had since addressed these issues.
“Although the crisis was caused by MBK’s negligence, the potential impact on the Lotte brand is concerning,” said another retail industry source. “Lotte can only hope for a swift resolution, given the number of consumer-facing services its affiliates operate.”
With the extent of the hacking damage exceeding initial expectations, Lotte Card CEO Cho Jwa-jin is anticipated to issue a public apology and announce response measures soon. Attention is focused on whether the announcement will include practical steps such as card replacements and compensation for affected customers.
A Lotte Card official stated, “The inspection is still ongoing. Once the final scope of the damage is confirmed, we will inform consumers and outline our response plan accordingly.”
In a related incident earlier this year, another company provided users with an additional month of discounts at partner stores as compensation following a hacking event.
롯데카드 해킹 사건은 수백만 고객의 개인 정보 유출 가능성으로 인해 롯데그룹의 전체 브랜드 이미지에 부정적인 영향을 미칠 수 있다는 우려를 불러일으켰다. 많은 소비자들이 카드 발급회사를 여전히 그룹의 일환으로 인식하고 있다는 것이 업계 관계자들의 설명이다.
실제로 롯데카드의 최대 주주는 사모펀드 MBK파트너스이며, 2019년 매각 이후 롯데그룹과 경영적 연관은 없다. 그럼에도 불구하고 롯데 브랜드 이름의 지속적인 사용이 롯데그룹의 잠재적인 reputational damage 부담을 지우고 있다고 이들은 덧붙였다.
롯데카드는 8월 31일 해킹 사건을 금융감독원에 신고했다. 금융감독원은 9월 2일부터 현장 조사를 시작했으며, 현재는 최종 단계에 접어들어 이번 주 초 결과 발표가 예상된다.
처음에 롯데카드는 해킹 사건에 따른 유출 데이터 규모를 약 1.7기가바이트로 추정했다. 그러나 이후의 현장 점검 결과는 유출 범위가 훨씬 더 광범위하다는 것을 보여주고 있다.
피해자는 처음 수만 명으로 제한될 것이라고 생각했으나, 실제로는 롯데카드 회원 수가 960만 명에 달하는 점을 고려할 때 수십만 명 또는 수백만 명에 이를 가능성이 있다.
금융감독원 관계자는 “피해 범위는 원래 파악된 것보다 훨씬 더 클 것으로 보인다. 검증이 완료되면 이번 주에 점검 결과가 공개될 예정”이라고 말했다.
금융감독원은 금융안전연구소와 함께 유출된 데이터가 금융 범죄에 사용될 수 있다는 우려가 커지는 가운데 잠재적인 2차 피해에 집중하고 있다.
이번 사건은 롯데카드의 불충분한 보안 조치를 수면 위로 끌어올렸다. 회사는 해킹 공격이 발생한 지 17일이 지난 8월 31일에야 이를 인지했으며, 지연된 대응은 비판을 받고 있다.
예상치 못하게 롯데그룹에도 여파가 미치고 있으며, 소비자들이 이번 유출을 그룹의 전반적인 보안 취약성으로 해석할 가능성이 있다.
소매업계 관계자는 “MBK파트너스가 롯데카드의 주주라는 사실을 아는 사람은 적다. 대다수는 여전히 롯데카드가 롯데그룹의 일부라고 생각하고 있다”고 말했다.
롯데그룹이 2017년 지주회사 구조로 전환하면서 산업자본과 금융자본 분리에 관한 규정에 따라 금융 자회사를 소유하는 것이 금지됐다. 이에 따라 롯데카드와 롯데손해보험은 각각 MBK파트너스와 JKL파트너스에 매각되었다.
당시 MBK는 고객 신뢰를 유지하기 위해 “롯데카드”라는 이름을 유지하는 조건으로 카드 발급사를 인수한 것으로 전해졌다.
업계 전문가들은 적절한 보안 투자를 우선시하지 않은 MBK파트너스를 비판해야 한다고 강조했다.
롯데카드가 사용하는 결제 관리 서버는 약 10년 전에 발견된 취약점이 있었고, 대부분의 금융 기관들은 이를 패치했으나 롯데카드는 이러한 업데이트를 하지 않아 해킹 공격에 노출된 상태였다.
“위기는 MBK의 과실에 의해 초래된 것이지만, 롯데 브랜드에 미치는 잠재적 영향은 우려스럽다. 행동하기 쉽지 않지만, 롯데는 소비자에게 제공하는 서비스의 수를 고려할 때 신속한 해결을 바라야 할 것”이라고 또 다른 소매업계 소식통이 전했다.
한편, 해킹 피해의 범위가 초기 기대치를 초과함에 따라 롯데카드 CEO 조좌진이 이번 주 초 공개 사과와 함께 대응 방안을 발표할 것으로 예상된다.
조 CEO의 발표가 카드 교체와 같은 실질적인 조치뿐만 아니라 피해 고객에 대한 보상도 포함될지에 대한 관심이 집중되고 있다.
롯데카드 관계자는 “조사는 여전히 진행 중이며, 피해 범위의 최종 확인이 이루어지면 소비자에게 안내하고 대응 계획을 수립하겠다”고 밝혔다.
올해 초 해킹 사건 이후 SK텔레콤은 소비자에게 T멤버십 제휴 매장에서 추가 한 달의 할인을 제공하여 보상 조치를 시행했다.