유출 정보, '피싱' 악용 - 롯데카드 정보유출 2차 피해 확산

정보유출 피해자가 겪은 피싱 사례 확인

• 피해자 A씨의 상황: A씨는 롯데카드에서 암호화된 카드번호, 가상결제코드, IP, 결제요청금액 등의 정보를 유출당했으나, CVC 같은 핵심 정보는 유출되지 않아 카드 재발급 대상이 아니라는 안내를 받았습니다. (비밀번호만 변경 권고 대상인 269만 명 중 1명)
• 피싱 메일 수신: A씨는 "신형 아이폰17 259만 원이 결제되었다"는 내용의 거짓 메일을 받았습니다.
• 피싱 사이트로 유도: 메일에서 "내가 한 결제가 아닙니다" 버튼을 누르자, 애플 계정, 비밀번호, 그리고 카드번호를 입력하도록 요구하는 피싱 사이트로 연결되었습니다.
• 정보 유출 입증 및 신뢰 유도: 이 피싱 사이트에는 유출된 A씨의 롯데카드 번호 뒤 네 자리('9172')가 그대로 적혀 있어, 피해자가 자신의 카드가 부정 사용되었다고 믿고 추가 정보를 입력하도록 유도했습니다.

 

유출 정보의 악용 및 2차 피해 우려

• 범죄자의 목적: 피싱 메일을 보낸 범죄자는 유출된 카드 번호 정보를 바탕으로 피해자를 속여 애플 계정 및 유효한 신용카드 번호(추가 금융정보)를 빼내려 한 것으로 의심됩니다.
• 전문가 의견: 보안 전문가는 범죄자가 여러 번 입력을 요구하며 정확한 카드 번호를 받기 위한 방법일 수 있다고 분석했습니다.
• 피해 확산 우려: 유출된 297만 명의 개인정보를 피싱 조직이 손에 넣었을 가능성이 제기됨에 따라, 추가 금융정보 유출을 통한 2차 피해가 어디까지 확산될지 예측하기 어려운 상황입니다.

---

 

짧은 소견

이 보도는 개인정보 유출이 단순히 '정보'를 잃는 것을 넘어, '신뢰'라는 심리적 약점을 노린 2차 금융 사기로 직결된다는 점을 명확히 보여준다. 특히 피싱 사이트에 유출된 카드번호 뒷자리를 미리 넣어 피해자가 자신의 유출된 카드가 실제로 부정 사용되고 있다고 믿게 만드는 수법은 매우 지능적이고 교묘합니다. 카드사는 CVC 등 핵심 정보가 유출되지 않았다고 안내했으나, 유출된 정보만으로도 피싱의 '미끼'로 충분히 악용되어 고객의 추가 금융 정보를 빼낼 수 있다는 점에서, 모든 유출 피해 고객에 대한 금융 당국과 카드사의 더욱 강력하고 구체적인 2차 피해 방지 조치 및 안내가 시급해 보인다. 고객들은 카드사의 '재발급 대상 아님' 안내만 믿을 것이 아니라, 결제 관련 의심스러운 메일이나 문자 수신 시 절대 메일 속 링크를 누르지 말고, 반드시 공식 앱이나 고객센터를 통해 직접 확인하는 신중한 자세가 필요하다.