09.25 경제 신문 스크랩
수치화
인사이트
키인 거래, 정보 입력 결제 방식
28만명 카드 정보 죄다 유출돼
269만명 주민번호 악용될 수도
롯데카드 해킹 사고로 개인정보가 유출된 297만명은 이 회사 전체 회원의 3분의 1에 이를 정도로 대규모다. 더욱 놀라운 점은 이들 가운데 28만명의 경우 신용카드의 보안 강화를 위해 쓰이는 일종의 비밀번호인 카드보안코드(CVC)까지 털렸다는 것이다. 해킹이 이뤄진 지 보름이 넘도록 피해 사실조차 제대로 파악하고 있지 못하고 있던 롯데카드는 조좌진 대표가 나서 대고객 사과를 하고 뒤늦게 거액의 정보 보안 투자 계획을 발표했다.
교묘한 수법에 속수무책?
롯데카드 온라인 서버 해킹으로 인한 개인정보 유출이 최종 확인된 것은 지난 17일이었다. 롯데카드가 금융당국에 해킹 정황을 신고한 1일부터 보름이 넘게 지난 뒤에야 전체 회원 30%의 개인정보가 유출된 것을 확인한 것이다. 유출 데이터의 용량 역시 당초 1.7기가바이트(GB)라고 했다가, 그보다 수십배 많은 200기가바이트 분량이 유출된 사실이 드러났다. 최초 해킹이 발생한 것이 지난달 14일이었고, 이로부터 열흘이 넘게 지난달 26일 처음 해킹 흔적을 발견했고, 최종 피해 규모를 확인하기까지 다시 시간이 훌쩍 지난 셈이다.
해킹 사고 발생을 뒤늦게 인지한 데 대해 롯데카드 쪽은 “(해킹당한 서버가) 사용량이 미비한 서버여서 사실을 인지하는 데 어려움이 있었다. 해킹 수법이 상당히 교묘했다”고 설명했다. 조 대표는 “해커가 서버 안의 파일을 압축해서 유출하면서 압축 파일을 지워버리거나 짧은 공격을 하면서 조금씩 가져가는 형태의 해킹이었다”고 설명했다.
어떤 정보 털렸길래
정보 유출 피해를 입은 297만명 가운데 카드보안코드까지 유출된 28만명은 7월22일~8월27일 새로운 페이결제 서비스나 인터넷쇼핑 사이트 등에 카드정보를 신규 등록한 이들이다. 이 과정에서 카드번호와 유효기간, 카드보안코드뿐 아니라 비밀번호 두자리와 주민등록번호, 전화번호까지 해커 손에 들어갔다. 신용카드 거래 과정에 주요한 금융정보가 여과 없이 유출된 셈이다. 다만 문자메시지 인증 등 2중 보안 장치 때문에 온라인 부정사용 가능성은 없다는 게 롯데카드 쪽 설명이다. 단말기에 카드 정보를 직접 입력해 결제하는 ‘키인(Key in) 거래’ 시 부정사용 가능성은 있다. 키인 거래가 가능한 곳은 전체 330만 가맹점 중 0.15%라고 롯데카드 쪽은 밝혔다.
이들 28만명을 제외한 269만명은 일부 항목만 제한적으로 유출됐기에 피해 가능성이 사실상 없다. 다만 신용카드 부정 사용이 아니라 해도 주민번호 등을 악용할 가능성은 상존한다. 스미싱이나 피싱 메시지 등은 주민번호와 휴대전화번호만으로도 가능하기 때문이다.
MBK 인수가 해킹 사고 원인?
엠비케이파트너스는 2019년 롯데카드 지분 79.83%를 1조3800억원에 인수했다. 재매각을 위주로 수익을 내는 ‘바이아웃’에 주력해온 엠비케이는 2020년 3조원 규모 매각 추진이 무산된 뒤 지난 5월 2조원으로 가격을 낮췄지만 아직 매각하지 못하고 있다. 비용 절감을 위해 보안 투자를 소홀히 한 게 아니냐는 지적이 나오는 이유다. 이찬진 금감원장은 최근 여신전문업계 최고경영자(CEO)와의 간담회에서 롯데카드 해킹 사태를 겨냥해 “비용절감을 통한 단기 실적에만 치중한 반면 정보보안을 위한 장기 투자에는 소홀한 결과는 아닌지 뒤돌아 봐야 한다”고 말했다.
2020년 롯데카드 최고경영자로 선임된 조 대표는 “2020년 내부 정비 작업을 거쳐 2021년 정보보호 관련 투자를 진행했다. 2020~2025년 정보보호 투자를 지속했고 인력은 최초 15명에서 지금은 30명으로 4년 사이에 2배로 늘었다”며 “앞으로 5년 동안 1100억원 규모의 정보보호 관련 투자를 집행하겠다”고 말했다.
피해 발생 시 전액 보상
롯데카드는 현재까지 신용카드 부정사용 등 실질적인 재산상 피해가 발생했다는 신고는 없다고 밝혔다. 또 해킹 사고와 연관성이 확인된 2차 피해를 포함해 모든 피해액을 전액 보상하겠다고도 밝혔다. 이밖에 개인정보가 유출된 피해자 전원에게 연말까지 결제 금액과 관계 없이 무이자 10개월 할부 서비스를 무료로 제공하기로 했다. 또한 카드 재발급 대상인 28만명에게는 재발급 시 다음 해 연회비를 한도 없이 면제하기로 했다. 또 피싱, 해킹 등 금융사기 또는 사이버 협박에 의한 손해 발생 시 보상해 주는 금융피해 보상 서비스 ‘크레딧케어’와 카드사용 알림서비스를 연말까지 무료로 제공하기로 했다.
조 대표는 “어제(17일) 저녁 6시 기준으로 카드 부정사용이 가능한 28만명 중 5만5000명에 대해 카드 재발급이나 사용정지 또는 회원 탈퇴가 완료됐다. 나머지 회원들에 대한 조처도 이미 진행중이다. 고객 피해를 제로화하고 불편을 최소화하는 임무가 대표로서의 마지막 책무라고 생각한다”고 말했다.
핵심 용어 정리
CVC : 카드에 인쇄된 3~4자리 보안 숫자인 카드 인증 코드(Card Verification Code)의 약자
기사 요약
피해 규모와 현황
대규모 개인정보 유출
- 전체 회원의 3분의 1에 해당하는 297만명의 개인정보 유출
- 이 중 28만명은 카드보안코드(CVC)까지 유출되어 심각한 보안 위험 노출
- 유출 데이터 규모는 당초 1.7GB에서 200GB로 대폭 증가
발견 지연 문제
- 최초 해킹 발생: 지난달 14일
- 해킹 흔적 발견: 지난달 26일 (12일 지연)
- 최종 피해 확인: 17일 (보름 이상 추가 지연)
해킹 수법과 원인 분석
교묘한 해킹 기법
- 사용량이 적은 서버를 표적으로 해킹하여 발견 지연
- 파일 압축 후 즉시 삭제하는 방식으로 흔적 은폐
- 짧은 공격으로 조금씩 데이터를 빼내는 스텔스 방식 사용
MBK 인수 후 보안 투자 논란
- 2019년 MBK파트너스가 롯데카드 지분 79.83% 인수
- 재매각 추진 과정에서 비용 절감을 위한 보안 투자 소홀 지적
- 금감원장이 "단기 실적 치중, 장기 보안 투자 소홀" 비판
유출된 정보와 위험성
고위험군 28만명
- 7월22일~8월27일 신규 카드 등록자
- 유출 정보: 카드번호, 유효기간, CVC, 비밀번호 2자리, 주민번호, 전화번호
- 키인(Key in) 거래에서 부정사용 위험 존재
일반 피해자 269만명
- 제한적 정보 유출로 카드 부정사용 위험은 낮음
- 스미싱, 피싱 등 2차 피해 가능성은 여전히 존재
보상 및 대응 방안
보안 투자 계획
- 향후 5년간 1,100억원 규모 정보보호 투자 약속
- 보안 인력 15명에서 30명으로 2배 증원 완료
피해자 보상 정책
- 해킹 관련 모든 피해액 전액 보상 약속
- 전체 피해자 대상 연말까지 무이자 10개월 할부 무료 제공
- 28만명 고위험군 대상 내년 연회비 면제
- 금융피해 보상 서비스 '크레딧케어' 무료 제공
현재 대응 상황
- 28만명 중 5만5000명 카드 재발급 또는 사용정지 완료
- 현재까지 실질적 재산 피해 신고 사례 없음
- 나머지 회원 대상 보안 조치 진행 중
본문의 근거 (수치)
롯데카드 해킹 사고로 개인정보가 유출된 297만명은 이 회사 전체 회원의 3분의 1에 이를 정도로 대규모다. 더욱 놀라운 점은 이들 가운데 28만명의 경우 신용카드의 보안 강화를 위해 쓰이는 일종의 비밀번호인 카드보안코드(CVC)까지 털렸다는 것이다.
“해커가 서버 안의 파일을 압축해서 유출하면서 압축 파일을 지워버리거나 짧은 공격을 하면서 조금씩 가져가는 형태의 해킹이었다”
신용카드 거래 과정에 주요한 금융정보가 여과 없이 유출된 셈이다. 다만 문자메시지 인증 등 2중 보안 장치 때문에 온라인 부정사용 가능성은 없다는 게 롯데카드 쪽 설명이다.
“2020년 내부 정비 작업을 거쳐 2021년 정보보호 관련 투자를 진행했다. 2020~2025년 정보보호 투자를 지속했고 인력은 최초 15명에서 지금은 30명으로 4년 사이에 2배로 늘었다”
또 피싱, 해킹 등 금융사기 또는 사이버 협박에 의한 손해 발생 시 보상해 주는 금융피해 보상 서비스 ‘크레딧케어’와 카드사용 알림서비스를 연말까지 무료로 제공하기로 했다.
추가 조사
조좌진 롯데카드 대표 “해킹 사태, 8년 전 보강 안 된 전산이 원인”
조좌진 롯데카드 대표는 8년 전 보강이 되지 않은 전산으로 인해 해킹 사태가 벌어졌다고 설명했다.
조 대표는 24일 오전 국회 과학기술정보방송통신위원회 청문회에서 “온라인 결제 서버 내에 웹 로직이 2017년 이후 업그레이드가 안 돼 허점이 발생했다”며 “웹 로직 프로그램 48개가 모두 보강 작업이 됐어야 하는데, 그 중 하나를 놓쳤다”고 밝혔다. 웹 로직은 글로벌 IT 기업 오라클이 개발한 웹 애플리케이션 서버를 뜻한다. 시스템 효율과 보안성을 높이는 역할을 한다.
조 대표는 “현재는 전수 조사를 통해 시스템을 보완한 상태다”라고 설명했다.
앞서 롯데카드는 지난달 14일 오후 해킹으로 내부 파일이 유출됐다. 유출 규모는 200GB(기가바이트) 수준이며, 피해 인원은 297만명이다. 이번 해킹으로 일부 회원의 주민등록번호, CVC(카드 뒷면 3자리 숫자), 내부식별번호 등이 유출됐다.
조좌진 롯데카드 대표 “해킹 사태, 8년 전 보강 안 된 전산이 원인”
심화 분석
오라클 웹로직 서버 취약점 CVE-2017-10271
해킹 발생과 대응 지연
- 2025년 8월 14일부터 이틀간 롯데카드 온라인 결제 서버 해킹 발생
- 최소 1.7GB 규모의 내부 데이터 유출 시도
- 8월 26일 악성코드와 웹셸 발견, 9월 1일에야 금융당국 신고
- 보안 체계의 심각한 탐지 지연 문제 노출
CVE-2017-10271 취약점 분석
취약점 기본 정보
- 오라클 웹로직 서버의 원격 코드 실행(RCE) 취약점
- 영향 버전: Oracle WebLogic Server 10.3.6.0, 12.1.3.0 등
- 2017년 발견되어 패치가 제공되었으나 여전히 활용되고 있음
기술적 원리
- WorkContextXmlInputAdapter 클래스가 외부 XML 입력을 검증 없이 XMLDecoder로 처리
- 공격 난이도가 낮아 자동화된 공격 시도 가능
- 원격 명령 실행, 데이터 유출, 추가 네트워크 침투 위험
실제 공격 수법
침투 경로와 방법
/wls-wsat/CoordinatorPortType와 같은 취약 URL 엔드포인트 활용- SOAP/XML 요청에 악성 페이로드 삽입하여 원격 명령 실행
- Reverse Shell 연결 후
/bea_wls_internal/shell.jsp경로에 JSP 웹셸 업로드 - 서버 완전 장악 후 지속적인 원격 제어
공격자의 스텔스 기법
- 정상 통신과 구분하기 어려운 프록시와 터널링 기법 활용
- 파일 압축 후 즉시 삭제하는 방식으로 흔적 은폐
- 짧은 공격으로 조금씩 데이터를 탈취하는 방식 사용
전 세계 취약 현황
Criminal IP 검색 결과
- 2025년 9월 9일 기준 총 178,738개의 취약 서버 확인
- 대부분 인터넷에 직접 노출되어 Critical 상태
- 오래된 취약점임에도 여전히 대규모로 패치되지 않은 상태
- 공격자가 단순 스캐닝만으로 침투 대상 발견 가능
대응 방안과 시사점
필수 보안 조치
- 최신 보안 패치 즉시 적용
- 불필요한
/wls-wsat등 엔드포인트 차단 - WebLogic 관리 포트에 대한 방화벽 설정 강화
- 자동화된 취약점 관리 시스템 도입
- 웹셸 및 비정상 행위 탐지를 위한 실시간 모니터링 구축
핵심 교훈
- 오래된 CVE라도 방치되면 심각한 보안 사고로 이어질 수 있음
- 패치 미비, 탐지 지연, 보안 관리 부재가 결합된 복합적 문제
- 위협 인텔리전스 기반의 공격 표면 관리가 필수
- 지속적인 취약 자산 탐지와 모니터링 체계 구축 필요
결론
보안 전략의 핵심
롯데카드 사건은 오라클의 최신 버전 패치를 받지 않아서 오래전 보안 취약점을 그대로 가지고 있어서 생긴 사건, 능동적 보안 관리와 지속적인 취약점 모니터링을 보안 전략에 두어야 한다.
참고자료
