🚨 롯데카드 영업정지 4.5개월 위기
— 해킹 사고부터 제재심까지 완벽 정리
297만 명 개인정보 유출 사고의 전말 · 영업정지 시 내 카드 어떻게 되나 · 우리·신한카드 도미노 제재까지
📋 목차 — 궁금한 항목을 바로 확인하세요
- 사건의 발단 — 롯데카드 해킹 사고 경위
- 금감원 제재 내용 — 영업정지 4.5개월 + 과징금 50억 원
- 제재심 현황 — 결론 보류, 지금 어디까지 왔나?
- 영업정지가 현실화되면 — 내 카드, 실생활에 어떤 영향?
- 2014년 vs 2025년 — 역사는 반복되는가?
- 롯데카드 재무 현황 — 순이익 급감, MBK 매각까지 안갯속
- 도미노 제재 — 우리카드·신한카드도 흔들린다
- 내가 피해자라면? — 개인정보 유출 대처 7단계
- 자주 묻는 질문 Q&A 8가지
① 사건의 발단 — 롯데카드 해킹 사고 경위
2025년 카드업계를 뒤흔든 롯데카드 해킹 사태는 단 한 번의 보안 패치 누락이 불러온 재앙이었습니다. 공격자는 오랫동안 알려진 취약점을 활용해 내부 시스템을 장악했고, 그 결과는 역대 최대 규모의 금융 정보 유출로 이어졌습니다.
297만
유출된 고객 수
(전체 회원의 약 30%)
(전체 회원의 약 30%)
28만
카드번호·CVC 등
결제정보 유출 고객
결제정보 유출 고객
200GB
유출된
데이터 총량
데이터 총량
17일
해킹 발생 후
인지까지 걸린 시간
인지까지 걸린 시간
📅 사건 타임라인
2025년 8월 14~15일
해킹 공격 발생. 구버전 오라클 웹로직(Oracle WebLogic) 서버의 취약점(CVE-2017-10271)을 통해 공격자가 웹쉘을 심어 원격 제어 권한 획득. DDoS 공격을 병행해 보안팀의 주의를 분산시킨 뒤 약 200GB 데이터 탈취.
2025년 9월 1일
롯데카드, 자체 조사를 거쳐 해킹 사실을 금융위원회·금융감독원에 신고. 서버 3개에서 악성코드 2종과 웹쉘 5종 발견.
2025년 9월 18~20일
롯데카드 대국민 사과 발표. 부정사용 피해액 전액 보상 공지. 297만 명 고객에게 개별 유출 안내 메시지 발송.
2026년 4월 9일
금감원, 롯데카드에 영업정지 4.5개월·과징금 50억 원·인적 제재 포함한 중징계 사전 통지. 조좌진 전 대표 등 경영진 제재도 포함.
2026년 4월 16일
금감원 제재심의위원회 개최. 최종 결론 도출 못한 채 판단 보류. 추가 제재심 일정 예정.
2026년 4월 이후 (진행 중)
추가 제재심 → 금융위원회 의결 → 최종 제재 수위 확정 예정. 업계 전체 촉각.
🔍 해킹 수법 핵심 요약
공격자는 수년간 패치가 이루어지지 않은 온라인 결제 서버를 표적으로 삼았습니다. 알려진 취약점(CVE-2017-10271)을 통해 악성 스크립트(웹쉘)를 심어 서버를 원격 장악한 뒤 카드번호, CVC, 유효기간, 비밀번호 일부까지 포함된 민감 결제정보를 탈취한 것으로 파악됩니다. 보안 업계는 "보안 패치 한 번만 적용했어도 막을 수 있었던 사고"라고 평가합니다.
공격자는 수년간 패치가 이루어지지 않은 온라인 결제 서버를 표적으로 삼았습니다. 알려진 취약점(CVE-2017-10271)을 통해 악성 스크립트(웹쉘)를 심어 서버를 원격 장악한 뒤 카드번호, CVC, 유효기간, 비밀번호 일부까지 포함된 민감 결제정보를 탈취한 것으로 파악됩니다. 보안 업계는 "보안 패치 한 번만 적용했어도 막을 수 있었던 사고"라고 평가합니다.
② 금감원 제재 내용 — 영업정지 4.5개월 + 과징금 50억 원
금융감독원은 롯데카드에 역대 카드업계 최강 수준의 중징계를 사전 통지했습니다.
| 제재 항목 | 내용 | 비고 |
|---|---|---|
| 영업정지 | 4개월 15일(약 4.5개월) | 신규 모집·카드론·현금서비스 전면 중단 |
| 과징금 | 50억 원 | 금감원 부과 |
| 인적 제재 | 조좌진 전 대표 등 경영진 | 해킹 사고 당시 대표 포함 |
| 개인정보보호위원회 | 과징금 96억 2,000만 원 (별도) | 정보통신망법 위반 |
| 합산 제재 부담 | 약 146억 원 이상 | 손해배상 소송 8건 추가 진행 중 |
📌 왜 4.5개월인가? — '반복 위반' 가중 적용
2014년 카드 3사(KB국민·롯데·NH농협카드) 정보유출 사태 당시에는 3개월 영업정지가 내려졌습니다. 이번에는 반복 위반 요소가 반영돼 기간이 50% 가중 적용된 것으로 업계는 분석합니다. 여신전문금융업법상 카드사 개인정보 유출 시 최대 6개월 영업정지가 가능하며, 4.5개월은 그 75% 수준입니다.
2014년 카드 3사(KB국민·롯데·NH농협카드) 정보유출 사태 당시에는 3개월 영업정지가 내려졌습니다. 이번에는 반복 위반 요소가 반영돼 기간이 50% 가중 적용된 것으로 업계는 분석합니다. 여신전문금융업법상 카드사 개인정보 유출 시 최대 6개월 영업정지가 가능하며, 4.5개월은 그 75% 수준입니다.
③ 제재심 현황 — 결론 보류, 지금 어디까지 왔나?
2026년 4월 16일 열린 제재심의위원회는 결론을 내리지 못한 채 판단을 보류했습니다. 롯데카드 측은 이번 사고가 내부 직원의 소행이 아닌 외부 해킹 피해였다는 점, 사고 즉시 당국에 신고하고 피해 보상안을 마련했다는 점을 들어 제재 수위 경감을 주장하고 있습니다.
⚖️ 제재심 쟁점 3가지
1️⃣ 해킹 특수성 — 내부 통제 실패가 아닌 외부 해킹이므로 과거 내부 유출 사건보다 낮은 수위가 적절하다는 주장 vs. 기본 보안 패치조차 하지 않아 사실상 관리 책임이 있다는 반론
2️⃣ 반복 위반 — 2014년 정보유출 전력이 있어 가중 처벌이 적합하다는 금감원의 입장
3️⃣ 선례 효과 — 이번 판결이 우리카드·신한카드 등 이후 제재의 기준선이 된다는 점에서 금감원도 수위 결정에 신중
1️⃣ 해킹 특수성 — 내부 통제 실패가 아닌 외부 해킹이므로 과거 내부 유출 사건보다 낮은 수위가 적절하다는 주장 vs. 기본 보안 패치조차 하지 않아 사실상 관리 책임이 있다는 반론
2️⃣ 반복 위반 — 2014년 정보유출 전력이 있어 가중 처벌이 적합하다는 금감원의 입장
3️⃣ 선례 효과 — 이번 판결이 우리카드·신한카드 등 이후 제재의 기준선이 된다는 점에서 금감원도 수위 결정에 신중
🗓️ 이후 절차: 추가 제재심 개최 → 금융위원회 의결 → 최종 제재 확정. 금융권에서는 빠르면 2026년 4월 말~5월 중 최종 결론이 나올 것으로 전망합니다.
④ 영업정지가 현실화되면 — 내 카드, 실생활에 어떤 영향?
기존 롯데카드 회원이라면?
| 항목 | 영업정지 기간 중 |
|---|---|
| 기존 카드 사용 | ✅ 정상 이용 가능 (결제·포인트 적립 등) |
| 신규 카드 발급 | ❌ 중단 (신규 모집 전면 금지) |
| 카드론 신규 취급 | ❌ 중단 |
| 현금서비스 신규 | ❌ 중단 |
| 한도 증액 | ❌ 제한 |
| 기존 카드론 상환 | ✅ 정상 진행 |
| 부수업무(부가서비스 등) | ⚠️ 일부 중단 가능 |
💡 카드 해지·재발급 여부: 영업정지 기간 중이라도 현재 보유한 카드는 그대로 쓸 수 있습니다. 단, 정보유출 피해를 우려해 카드를 재발급받고 싶다면 가급적 제재 결정 이전에 신청하는 것이 안전합니다.
⑤ 2014년 vs 2025년 — 역사는 반복되는가?
| 구분 | 2014년 카드사 정보유출 | 2025년 롯데카드 해킹 |
|---|---|---|
| 유출 방식 | 내부 직원 소행 | 외부 해킹 (웹쉘 삽입) |
| 피해 카드사 | KB국민·롯데·NH농협카드 | 롯데카드 단독 |
| 유출 규모 | 약 1억 건 이상 | 297만 명 / 200GB |
| 결제정보 포함 | 제한적 | 28만 명 CVC·카드번호 등 포함 |
| 영업정지 | 3개월 | 4.5개월 사전 통보 (심의 중) |
| 회원 감소 | 약 80만 명 감소 | 추가 감소 우려 |
📉 2014년 영업정지의 교훈: 당시 롯데카드는 3개월 영업정지로 개인 회원 수가 약 80만 명 감소하고 카드 이용실적 점유율도 하락했습니다. 이번에는 영업정지 기간이 더 길고 재무 여건도 악화된 상태여서 충격이 더욱 클 것으로 전문가들은 우려합니다.
⑥ 롯데카드 재무 현황 — 순이익 급감, MBK 매각까지 안갯속
814억
2025년 연간 순이익
(전년比 39.9% 급감)
(전년比 39.9% 급감)
0.56%
2025년 ROA
(2024년 2.08%에서 급락)
(2024년 2.08%에서 급락)
146억↑
총 제재 부담
(소송 비용 미포함)
(소송 비용 미포함)
3조→2조
MBK 엑시트
목표 매각가 하락
목표 매각가 하락
🏦 MBK파트너스 매각 이슈:
롯데카드 대주주인 MBK파트너스는 인수 후 6년이 넘어 엑시트(투자금 회수)를 추진해 왔습니다. 그러나 영업정지 우려와 재무 악화로 희망 매각가가 3조 원에서 2조 원 초반까지 내려앉으면서 거래 동력이 사실상 멈춘 상태입니다. 업계는 "건전성 회복 없이 매각은 어렵다"는 시각이 지배적입니다.
롯데카드 대주주인 MBK파트너스는 인수 후 6년이 넘어 엑시트(투자금 회수)를 추진해 왔습니다. 그러나 영업정지 우려와 재무 악화로 희망 매각가가 3조 원에서 2조 원 초반까지 내려앉으면서 거래 동력이 사실상 멈춘 상태입니다. 업계는 "건전성 회복 없이 매각은 어렵다"는 시각이 지배적입니다.
⑦ 도미노 제재 — 우리카드·신한카드도 흔들린다
롯데카드 제재가 업계 전체를 긴장시키는 가장 큰 이유는 이번 결정이 다른 카드사 제재의 기준선이 될 가능성 때문입니다.
| 카드사 | 사고 유형 | 현황 |
|---|---|---|
| 롯데카드 | 외부 해킹, 297만 명 개인정보 유출 | 제재심 심의 중 (영업정지 4.5개월 사전통보) |
| 우리카드 | 카드 모집 과정서 가맹점주 7만여 명 정보 유출 | 금감원 검사 완료, 제재 절차 진행 중 |
| 신한카드 | 내부 직원이 가맹점주 정보 외부 유출 | 금감원 검사 완료, 제재 절차 진행 중 |
⚠️ 업계 관계자 우려:
"영업정지가 현실화되면 단순히 몇 달 신규 모집이 막히는 수준이 아니라, 시장 점유율 자체가 구조적으로 흔들릴 수 있다. 경쟁사로 이동한 고객을 다시 되돌리기 위해 막대한 비용이 들어갈 수밖에 없다."
우리·신한카드의 경우 개인신용정보 유출이 아닌 만큼 롯데카드보다 제재 수위가 낮을 수 있다는 관측도 있지만, 금감원의 강경 기조를 감안할 때 예상보다 높은 제재 가능성도 배제할 수 없습니다.
"영업정지가 현실화되면 단순히 몇 달 신규 모집이 막히는 수준이 아니라, 시장 점유율 자체가 구조적으로 흔들릴 수 있다. 경쟁사로 이동한 고객을 다시 되돌리기 위해 막대한 비용이 들어갈 수밖에 없다."
우리·신한카드의 경우 개인신용정보 유출이 아닌 만큼 롯데카드보다 제재 수위가 낮을 수 있다는 관측도 있지만, 금감원의 강경 기조를 감안할 때 예상보다 높은 제재 가능성도 배제할 수 없습니다.
⑧ 내가 피해자라면? — 개인정보 유출 대처 7단계
✅ 롯데카드 정보 유출 피해 확인 및 대처 방법
1단계. 유출 여부 확인 — 롯데카드 공식 홈페이지(lottecard.co.kr) 또는 고객센터(1588-8100)에서 본인 유출 여부 조회
2단계. 카드 재발급 — CVC·카드번호 유출 대상(28만 명)이라면 즉시 카드 재발급 신청 (부정결제 차단)
3단계. 비밀번호 변경 — 롯데카드 앱·사이트 로그인 비밀번호 및 카드 비밀번호 즉시 변경
4단계. 부정결제 모니터링 — 카드 이용 내역 문자 알림 설정 후 이상 결제 즉시 신고
5단계. 개인정보 노출 등록 — 금융감독원 금융소비자정보포털 파인(fine.fss.or.kr)에서 개인정보 노출자 등록
6단계. 명의도용 차단 — 한국신용정보원(credit4u.or.kr) 또는 신용평가사에서 신규 금융거래 제한 신청
7단계. 피해보상 청구 — 부정사용으로 인한 피해 발생 시 롯데카드 고객센터 또는 금융감독원(1332)에 민원 접수
1단계. 유출 여부 확인 — 롯데카드 공식 홈페이지(lottecard.co.kr) 또는 고객센터(1588-8100)에서 본인 유출 여부 조회
2단계. 카드 재발급 — CVC·카드번호 유출 대상(28만 명)이라면 즉시 카드 재발급 신청 (부정결제 차단)
3단계. 비밀번호 변경 — 롯데카드 앱·사이트 로그인 비밀번호 및 카드 비밀번호 즉시 변경
4단계. 부정결제 모니터링 — 카드 이용 내역 문자 알림 설정 후 이상 결제 즉시 신고
5단계. 개인정보 노출 등록 — 금융감독원 금융소비자정보포털 파인(fine.fss.or.kr)에서 개인정보 노출자 등록
6단계. 명의도용 차단 — 한국신용정보원(credit4u.or.kr) 또는 신용평가사에서 신규 금융거래 제한 신청
7단계. 피해보상 청구 — 부정사용으로 인한 피해 발생 시 롯데카드 고객센터 또는 금융감독원(1332)에 민원 접수
⑨ 자주 묻는 질문 Q&A
Q1. 롯데카드 영업정지가 확정되면 내 카드를 쓸 수 없게 되나요?
아닙니다. 영업정지는 신규 회원 모집·카드 발급·카드론·현금서비스 신규 취급이 중단되는 것이지, 기존 회원의 카드 결제 이용이 막히는 것은 아닙니다. 현재 갖고 있는 롯데카드는 영업정지 기간 중에도 정상적으로 사용할 수 있습니다.
Q2. 내 개인정보가 유출됐는지 어떻게 확인하나요?
롯데카드는 유출 대상 고객 297만 명에게 개별 문자를 발송했습니다. 문자를 받지 못한 경우에도 롯데카드 공식 홈페이지 또는 고객센터(1588-8100)에서 직접 확인 가능합니다. 특히 CVC·카드번호까지 유출된 28만 명은 즉시 카드 재발급을 받는 것이 안전합니다.
Q3. 4.5개월 영업정지가 확정되면 롯데카드는 얼마나 손해를 보나요?
전문가들은 영업정지 기간 신규 모집 중단으로 약 200억 원 이상의 수익 손실이 발생할 것으로 추정합니다. 이미 2025년 연간 순이익이 전년 대비 39.9% 급감한 814억 원에 그쳤고, 과징금·소송비용까지 합산하면 실질 순이익은 600억 원대 중반으로 내려앉을 것으로 보입니다.
Q4. 롯데카드가 2014년에도 영업정지를 받았나요?
네. 2014년 카드 3사(KB국민·롯데·NH농협카드) 정보유출 사태 당시 롯데카드는 3개월 영업정지 처분을 받았습니다. 당시 개인 회원 수가 약 80만 명 감소하고 이용실적 점유율도 하락했습니다. 이번에는 '반복 위반' 요소로 기간이 50% 가중돼 4.5개월이 사전 통보된 상태입니다.
Q5. 우리카드·신한카드도 영업정지를 받을 가능성이 있나요?
두 카드사 모두 금감원 검사가 완료돼 제재 절차가 진행 중입니다. 다만 우리카드는 가맹점주 7만여 명, 신한카드는 내부 직원 유출 사건으로 롯데카드(개인신용정보 대규모 유출)와는 사안의 성격이 달라 상대적으로 낮은 수위의 제재가 예상됩니다. 그러나 금감원이 롯데카드 제재를 기준으로 강경 대응에 나설 경우 예상보다 높은 처벌이 내려질 수 있다는 관측도 있습니다.
Q6. 제재 결정에 이의를 제기할 수 있나요?
제재심의위원회 결과가 나오면 금융위원회 의결을 거쳐 최종 확정됩니다. 롯데카드는 확정 전까지 의견서 제출·추가 소명 등을 통해 제재 수위 경감을 시도할 수 있습니다. 확정된 제재에 불복할 경우 행정소송 등 법적 절차도 가능합니다.
Q7. 롯데카드를 지금 해지하는 것이 나을까요?
개인의 판단이지만, 영업정지가 확정되더라도 기존 카드 사용에는 영향이 없습니다. 단, 새 카드 발급·카드론 이용 계획이 있다면 제재 확정 이전에 처리하는 것이 유리합니다. 정보 유출 우려라면 재발급을 신청하면 됩니다.
Q8. 금융사 영업정지를 규정하는 법률은 무엇인가요?
여신전문금융업법(여신전문금융업법 시행령)에 따라 카드사가 개인정보 유출이나 소비자 보호 의무를 위반할 경우 최대 6개월의 영업정지 처분을 받을 수 있습니다. 또한 신용정보의 이용 및 보호에 관한 법률(신용정보법), 개인정보 보호법, 정보통신망 이용촉진 및 정보보호에 관한 법률(정보통신망법)에 따라 추가 과징금 및 형사 처벌도 가능합니다.
📌 롯데카드 영업정지 사태 핵심 요약
- 2025년 8월 해킹으로 297만 명 고객정보·200GB 데이터 유출
- 금감원 사전 통보: 영업정지 4.5개월 + 과징금 50억 원
- 개보위 과징금 96억 원 포함 총 제재 부담 약 146억 원 이상
- 2026년 4월 16일 제재심 열렸으나 결론 보류, 추가 심의 예정
- 2025년 순이익 814억 원 (전년比 39.9% 급감), ROA 0.56%로 급락
- 영업정지 확정 시 기존 카드 사용은 정상 가능, 신규 모집·카드론은 중단
- 우리카드·신한카드도 제재 대기 중 — 카드업계 도미노 제재 우려
- 피해자라면 카드 재발급·비밀번호 변경·파인 개인정보 노출 등록 즉시 조치
📎 공식 출처 및 참고 법령
· 금융위원회 보도자료 — 롯데카드 개인신용정보 유출 사고 긴급대책회의: www.fsc.go.kr
· 금융감독원 제재심의위원회 안내: www.fss.or.kr
· 개인정보보호위원회: www.pipc.go.kr
· 금융소비자정보포털 파인 (개인정보 노출자 등록): fine.fss.or.kr
· 한국신용정보원 크레딧포유 (신규 금융거래 제한): www.credit4u.or.kr
· 금융감독원 민원센터: ☎ 1332
· 관련 법령: 여신전문금융업법, 개인정보 보호법, 신용정보의 이용 및 보호에 관한 법률, 정보통신망법
※ 본 글은 2026년 4월 21일 기준으로 공개된 공식 보도자료 및 금융권 발표를 바탕으로 작성되었습니다. 최종 제재 결과는 금융위원회 의결 이후 확정됩니다.
· 금융위원회 보도자료 — 롯데카드 개인신용정보 유출 사고 긴급대책회의: www.fsc.go.kr
· 금융감독원 제재심의위원회 안내: www.fss.or.kr
· 개인정보보호위원회: www.pipc.go.kr
· 금융소비자정보포털 파인 (개인정보 노출자 등록): fine.fss.or.kr
· 한국신용정보원 크레딧포유 (신규 금융거래 제한): www.credit4u.or.kr
· 금융감독원 민원센터: ☎ 1332
· 관련 법령: 여신전문금융업법, 개인정보 보호법, 신용정보의 이용 및 보호에 관한 법률, 정보통신망법
※ 본 글은 2026년 4월 21일 기준으로 공개된 공식 보도자료 및 금융권 발표를 바탕으로 작성되었습니다. 최종 제재 결과는 금융위원회 의결 이후 확정됩니다.