롯데카드 서버 3곳서 악성코드 발견..."고객 정보 무사한가" 웹쉘·악성코드 무더기 발견, 금융당국 조사 나서

지난달 26일 롯데카드는 서버 점검 중 특정 서버가 악성코드에 감염되었다는 사실을 발견했다. 이어 실시한 전체 서버 정밀 조사에서는 3개의 서버에서 2종의 악성코드와 웹 쉘(원격으로 서버를 조작할 수 있는 악성 코드)을 발견하여 즉시 삭제 조치가 이뤄졌다고 전했다.
8월 31일에는 온라인 결제 서버에서 외부로 자료 유출을 시도한 흔적이 추가로 발견됐고, 다음 날인 9월 1일 금융감독원에 해당 전자금융사고 신고가 접수됐다. 이에 9월 2일 금감원은 금융보안원과 함께 현장검사에 착수한다. 또한 롯데카드는 고객 피해 최소화를 위해 다각도의 대응 계획을 발표했는데,  우선 "24시간 전용 상담 콜센터 운영, 의심스러운 거래 발생 시 즉시 차단하는 이상거래 탐지시스템(FDS)강화, 고객이 원할 경우 온라인으로 간편하게 카드를 정지하거나 재발급 받을 수 있는 절차 마련 등"과 함께, 금감원에 유출 가능성이 있는 고객 정보를 확인한 뒤 해당 고객에게 카드 비밀번호 변경 등을 안내할 예정이다.

현재 롯데카드 측은 “자체 조사 결과, 고객 정보 등 주요 정보의 외부 유출이나 랜섬웨어 등의 심각한 악성코드 감염은 확인되지 않았다.”라고 주장한다. 하지만 다수 매체와 업계 전문가들은 “정말 1.7 기가 바이트(GB) 달하는 데이터가 유출되었는지, 온라인 결제 서버에서 유출된 데이터에는 개인정보가 포함되지 않았는지”에 대해 추가 조사가 필요하다며, 롯데카드 측 조사와 대처에 대한 의심을 거두지 않고 있다.  금감원은 "반출에 실패한 파일 내용으로 추정할 때, 유출 파일에는 카드 정보 등 온라인 결제 요청 내역이 포함된 것으로 보인다."라고 밝혔다.

롯데카드는 지난 8월 12일 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득하며 보안 강화 노력을 이어온 기업이다. 그러나 불과 2주 만에 온라인 결제 시스템에서 취약점이 악용된 사건이 발생하면서 업계 전반의 보안 체계가 여전히 근본적인 위협에 직면해 있음을 보여준다. 

이찬진 금융감독원장은 2일 임원 회의를 주재하고, 소비자 피해 예방이 최우선이라며 "롯데카드 해킹 사고로 카드 부정 사용이 발생할 경우 피해액 전액을 보상하는 절차를 마련할 것"을 지시했다. 또한 "최고경영자(CEO) 책임하에 소비자 보호 관점에서 자체 금융 보안 관리체계를 전면 재점검해야 한다"라며 "관리 소홀로 인한 금융 보안 사고에 대해서는 엄정하게 제재할 것"이라고 강조했다.
주요 매체 보도에 따르면, 롯데카드는 사이버 금융사고 등에 대해 100억 원을 보장하는 사이버 보험에 가입한 바 있는데, 이는 개인정보의 우연한 유출·분실·도난·위조 등으로 고객 피해가 발생할 경우 카드사의 법률상 손해배상 책임을 보장하는 내용으로서 사태 수습에 일정 부분 도움이 될 것으로 보인다. 

최근 SK텔레콤 개인정보 유출, SGI서울보증 랜섬웨어 공격 등에 이어 이번 사고로 국내 주요 기업들의 보안이 취약점이 다시 한번 여실히 드러났다. 지난달 21일 금감원은 ‘금융 IT 리스크 대응 대책 회의’를 열어 금융권의 사이버 보안 강화를 당부했지만, 역시 추가 사고를 막지 못했다. 금융 데이터와 통신망이 긴밀히 맞물려 있는 경우, 사고 발생 파급력이 훨씬 크기에 금융보안원, 개인정보보호위원회, 한국인터넷진흥원(KISA) 등 관계 기관 간 실시간 정보 공유와 공조 체계 강화 및 국가 차원의 통합 사이버 보안 컨트롤타워 구축이 시급한 상황이다.