전체메뉴

닫기

롯데카드 297만명 대규모 정보 유출

주민등록번호, 카드번호 cvc 값등 민감정보도 유출되

8월 13일, 롯데카드 온라인 결제 시스템에 악성코드가 심어졌다. 침투는 조용했고, 8월 27일까지 최소 200GB에 달하는 정보가 빠져나갔다. 회사는 8월 26일에야 침해 흔적을 포착해 전수 점검을 벌였고, 3대의 온라인 결제 서버가 해킹됐음을 확인했다. 8월 31일에는 1.7GB 규모의 추가 반출 시도가 포착됐고, 다음 날인 9월 1일 오전 10시에 금융당국 신고가 이뤄졌다. 9월 2일에는 200GB 반출 사실이 추가로 확정됐다. 이번 사건은 어디까지가 뚫렸고, 무엇이 남았는지를 가르는 이정표가 됐다.

 

핵심은 ‘온라인 서버만’ 침해됐다는 점이다. 오프라인 IC 결제에 필요한 칩 보안요소나 트랙 키 같은 데이터가 유출된 정황은 없다. 그 대신 온라인 결제와 직결된 정보가 다층적으로 새어나갔다. 7월 22일부터 8월 27일 사이 간편결제(저장·갱신) 등록 과정에서 생성·처리된 데이터가 유출되면서 카드번호, 유효기간, CVC가 포함된 사례가 확인됐다. 다만 이 정보만으로 오프라인 복제카드를 만들어 IC 단말기에서 결제하는 시나리오는 성립하기 어렵다.

 

피해 규모는 확정 기준으로 297만 명이다. 28만 명은 카드정보와 주민등록번호·전화번호 등 고객정보가 함께 유출돼 키인(Key‑in) 방식의 부정결제 위험이 상대적으로 높다. 이들은 카드 재발급과 온라인 비밀번호 변경이 필요하다. 47만 명은 암호화된 카드번호와 고객정보, 온라인 결제 정보가, 222만 명은 암호화된 카드번호와 온라인 결제 정보가 각각 유출됐다. 이 두 구간(총 269만 명)은 재발급까지는 필요하지 않지만 비밀번호 변경과 해외안심(해외결제 차단 또는 한도 최소화) 설정이 권고된다. 간편결제 저장카드는 삭제 후 재등록하는 편이 안전하다.

 

회사는 기자회견 직후 1시간 이내에 28만 명 대상자에게 문자(SMS)로 개별 통보할 계획이다. 또한 재발급을 신청하는 즉시 기존 카드는 정지되어 추가 결제 방지가 이뤄진다.

 

사고의 구조는 전형적이다. 취약점 패치 지연, 웹셸을 통한 서버 장악, 그리고 장기간의 이상 징후 미포착이 겹치며 피해가 누적됐다. ‘탐지 지연’은 곧 ‘피해 확대’였다. 더구나 정례적인 방어 훈련과 모의침투를 실시했다 하더라도, 실전 대응이 작동하지 않으면 사고는 막지 못한다는 사실이 확인됐다. ‘탐지 지연’은 곧 ‘피해 확대’였다. 

 

무엇보다 이번 사건의 가장 큰 문제점은 단 하나의 서버의 패치 미비였다. 이에 따라 IT 보안 부분에서 하나의 실수가 얼마나 큰 사건으로 번지는지 확인할 수 있는 사건이 다. 이번 사건의 교훈에 따라 타 금융사들도  전 서버 전수 패치 검증이 선행돼야 한다. 개별 시스템이 아니라 온라인 결제 서버를 포함한 애플리케이션·WAS·DB·백업·로깅 서버까지 전사 자산 목록을 기준으로 패치 적용 상태를 확인하고, 미적용 취약점은 기한을 둔 시정 계획으로 관리해야 한다.

 

감독체계도 손봐야 한다.  특히 관계기관의 실질 점검이 핵심이다. 서면 점검을 넘어 카드사·밴·PG사 인프라에 대한 현장 샘플링 점검, 로그 보존·복구 시뮬레이션, 레드팀 훈련 결과 확인을 정례화하고, 개선 미이행 시 시정명령·과징금 등 실효적 제재로 연결해야 한다. 이사회 리스크위원회가 사이버리스크를 정례 점검하고, 보안투자 축소 시 설명·공시하도록 해 지배구조의 책임선을 분명히 하는 것도 시급하다.

 

이용자에게 필요한 행동 수칙은 간단하다.

28만 명 구간은 즉시 기존에 소유하고 있는 모든 롯데카드의 재발급과 비밀번호 변경을 하야 한다. 재발급을 신청하는 순간 기존 카드는 즉시 정지되므로 정기결제·필수 결제 수단의 대체 카드나 다른 결제수단을 미리 준비하는 것이 좋다.

나머지 269만 명은 재발급 없이도 비밀번호를 바꾸고 해외안심을 설정하면 위험을 크게 낮출 수 있다.

모든 구간에서 최근 2-3개월 명세서를 촘촘히 확인하고, 해외결제 차단(해외안심) 설정을 우선 적용하는 것이 바람직하다. 특히 7월 22일부터 8월 27일 사이 간편결제를 등록·갱신했다면 저장카드를 삭제하고 새로 등록해야 한다. 부정 사용이 의심되면 즉시 분쟁을 신청하면 된다. 이용자 귀책이 명백하지 않은 한 전액 보상이 원칙이다.

 

이번 사건의 교훈은 뚜렷하다. 첫째, 패치와 탐지의 지연은 비용이 아니라 손실이다. 둘째, 분절된 감독체계를 통합해 초기 대응의 속도를 끌어올려야 한다. 셋째, 더 이상 보안은 IT 부서의 과제가 아니라 이사회의 책무다.

 

정리하면, 전 서버 전수 패치 검증과 관계기관의 실질 점검을 축으로 한 재발 방지 체계를 서둘러 구축해야 한다. 신속한 사실 공개, 전액 보상 원칙, 외부 검증이 가능한 재발 방지 계획—이 세 가지가 금융 소비자의 신뢰를 회복하는 최소 조건이다.

편집국 기자의 전체기사 보기

Copyright @대안과비평 Corp. All rights reserved.

Copyright @대안과비평 Corp. All rights reserved.