[HBN뉴스 = 홍세기 기자] 롯데카드가 지난 8월 26일 내부 서버 침해를 확인한 후 9월 1일 금융감독원에 신고한 해킹 사고가 충격을 주고 있다.
회원 967만 명을 보유한 국내 6위 카드사에서 발생한 이번 사고는 약 1.7GB 규모의 데이터가 외부로 유출된 것으로 파악됐다.
 |
| 롯데카드 본사. [사진=롯데카드] |
2일 보안업계에 따르면, 이번 롯데카드에 대한 공격자는 Oracle WebLogic 서버의 CVE-2017-10271 취약점을 악용해 시스템에 침투했다. 이는 2017년에 발견돼 패치가 제공된 지 8년이 지난 취약점으로, 해당 기간 동안 보안 조치가 이뤄지지 않았음을 시사한다.
공격자는 이 취약점을 통해 악성코드를 감염시킨 뒤 웹쉘을 업로드해 내부망에 접근한 것으로 조사됐다.
롯데카드는 전체 서버 점검 결과 3개 서버에서 악성코드 2종과 웹쉘 5종을 발견해 즉시 삭제했으며, 8월 31일 온라인 결제 서버에서 외부 공격자의 자료 유출 시도 흔적을 추가로 확인했다고 밝혔다.
◆ ISMS-P 인증 직후 발생한 보안 사고의 아이러니
특히, 이번 사고는 롯데카드가 지난달 12일 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득한 지 불과 2주 만에 발생해 큰 충격을 주고 있다.
ISMS-P는 기업의 정보보호 체계와 개인정보보호 관리체계가 적합하게 운영되는지를 심사하는 국내 최고 수준의 인증 제도다.
롯데카드는 관리체계 수립·운영, 보호대책 요구사항, 개인정보 처리단계별 요구사항 등 3개 영역 101개 인증 기준을 통과하여 인증을 받았으나, 이후 곧바로 보안 침해 사고가 발생한 것이다.
◆ 금융권 연쇄 보안 사고와 업계 위기감 확산
이번 롯데카드 사건은 지난 7월 SK텔레콤의 2300만명 개인정보 유출 사고와 맞물려 금융·통신 전반의 보안 위기를 드러내고 있다.
SK텔레콤은 방화벽 설정 미흡, 계정 관리 부실, 암호화 미실시 등 기본적인 보안 관리 소홀로 1347억원의 과징금과 과태료를 부과받았다.
올해 금융권에서는 SGI서울보증과 웰컴금융그룹이 랜섬웨어 공격을 당하는 등 사이버 보안 사고가 잇따르고 있다.
금감원은 지난 8월 21일 '금융IT 리스크 대응 대책회의'를 열어 보안 강화를 당부했지만, 추가 사고를 막지 못했다.
금감원과 금융보안원은 2일부터 롯데카드에 대한 합동 현장검사에 착수해 고객정보 유출 여부 등 사실관계를 확인하고 있다.
롯데카드는 현재까지 고객 개인정보 유출은 확인되지 않았다고 밝혔으나, 전문가들은 국가 차원의 통합 보안 전략 마련이 시급하다고 강조한다.
[저작권자ⓒ HBN뉴스. 무단전재-재배포 금지]
