롯데카드, 2014년 이어 또 역대급 유출사고, 카드사 보안체계 도마에

지난달 26일 악성코드 감염 확인
ISMS-P 획득 이후 발생한 보안 침해 사고
규제 미비로 인한 피해 반복

970만 명의 회원을 보유한 롯데카드가 해킹 공격 피해를 입었다. 롯데카드 측은 주요 정보가 외부로 유출되거나 랜섬웨어 등 심각한 악성코드에 감염되지는 않았다고 밝혔지만, 최근 SK텔레콤 해킹으로 2,600만 건이 넘는 유심 정보가 유출된 데 이어, 일반 소비자 이용이 많은 카드사에서 해킹 사고가 발생하면서 국내 보안 체계에 대한 우려가 커지고 있다. 게다가 개인정보 유출 문제를 반복한 카드사들이 수년간 금융당국으로부터 수차례 제재를 받았으나, 대부분 경고나 과태료 수준에 그치면서 실효성에 대한 의문도 제기되고 있다.

금융감독원에 해킹 피해 사실 신고

2일 금융권과 보안업계에 따르면 롯데카드는 전날 오전 금융감독원에 해킹 공격을 당했다고 신고했다. 롯데카드는 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 사실을 확인하고 전체 서버를 점검한 결과 3개 서버에서 2종의 악성코드와 5종의 웹쉘(웹서버에 명령을 실행해 관리자 권한을 획득하는 방식의 공격 방법)이 발견돼 즉시 삭제 조치한 것으로 알려졌다. 이후 롯데카드는 같은 달 31일 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도한 흔적을 발견했다. 해당 데이터의 양은 약 1.7기가바이트(GB) 규모다.

웹쉘은 해커가 악의적 목적으로 웹서버에 명령을 수행할 수 있는 프로그램이다. 탐지가 쉽지 않아 해킹에서 광범위하게 쓰이는 것으로 전해진다. 해커들은 관리자도 모르게 시스템 권한을 획득한 이후 이른바 다녀간 기록(로그)을 지워 버리기 때문에 웹쉘은 해킹 사고 이후에 발견되는 경우가 많다.

롯데카드는 외부 조사기관과 함께 정밀 조사를 진행했지만 아직까지 고객 정보 또는 주요 정보가 외부러 흘러들어가거나 랜섬웨어에 감염되는 등의 심각한 피해 정황은 확인되지 않았다고 밝혔다. 개인정보보호법 제34조 등에 따라 개인정보처리자는 개인정보 유출 발생이 확인될 시 지체 없이 정보주체에 유출 사실을 알려야 한다. 해킹 피해 신고를 받은 당국도 유출 경위와 구체적인 피해 규모를 밝히기 위한 절차에 들어간다. 금감원과 금융보안원 등 관계 기관은 현재 해당 사건에 대한 조사에 착수한 상태다.

2주 전 ISMS-P 인증 획득한 롯데카드, 인증 체계 실효성 의문

이번 롯데카드 해킹 사고는 업계에 큰 충격을 남긴 2014년 카드 3사(KB국민카드·NH농협카드·롯데카드) 개인정보 대규모 유출 사건을 떠올리게 한다. 당시 외주 직원이 1억580만 건에 달하는 개인정보를 무단 방출한 사건으로 최고경영자(CEO) 사퇴, 과징금, 강화된 정보보호 규제 도입으로 이어졌다. 이후 금융권은 정보보호 및 개인정보보호 관리체계(ISMS-P) 의무화, 외주 관리 강화, 내부 보안 감시 체계 확립 등 제도적 장치를 마련했지만, 이번 롯데카드 해킹 사건은 여전히 취약점 기반 공격이 현실화될 수 있음을 보여준다.

게다가 롯데카드는 불과 2주 전인 지난달 12일 ISMS-P 인증을 획득한 사실이 알려지면서 국내 정보보호 인증 체계가 실효성이 부족한 것 아니냐는 지적도 제기되고 있다. ISMS-P는 정보통신망법 제47조와 개인정보보호법 제32조의 2에 근거해 한국인터넷진흥원에서 부여하는 인증이다. 정보보호 관리체계 인증(ISMS)과 함께 기업이나 기관이 해킹, 내부자 유출, 시스템 장애 등 정보보호 위협에 잘 대비하고 있다고 평가되는 경우 부여한다. 앞서 해킹으로 전체 이용자 2,300만 명의 개인정보가 유출된 SK텔레콤의 경우도 해당 인증을 받은 것으로 나타났다.

롯데카드는 인증 취득에 필요한 평가 기준인 △관리체계 수립 및 운영 △보호대책 요구사항 △개인정보 처리단계별 요구사항 총 3개의 영역에서 101개 인증 기준에 대한 심사를 받고 이번 인증을 획득했다. 이에 앞서 롯데카드는 지난 2008년 국제표준 ISO27001(Information Security Management System, 정보보호 관리체계) 인증을 최초 취득한 이후, 2017년 국제 브랜드사 공동 데이터 보안 표준인 PCI DSS(Payment Card Industry Data Security Standard) 인증도 취득한 바 있다.

韓 신용카드 정보 건당 2만원에 거래, 유출 제재는 솜방망이

보안 전문가들이 해킹 사고를 간과하지 않는 이유는 해킹된 정보들이 금융 계정 도용이나 보험사기 피해 등으로 이어질 수 있어서다. 보안 전문 기업 안랩에 따르면 10개의 '다크웹 사이트'에는 수백 건의 한국인 개인정보 거래 글이 등록돼 있다. 각 게시물에는 적게는 수천 개에서 많게는 수십만 개의 개인정보가 담겨 있었다. 이들 다크웹에서 중점적으로 거래되고 있는 건 한국인의 금융 정보로, 한 사이트에서는 한국인의 신용카드 정보가 1건당 15달러(약 2만원)에 거래되기도 했다. 해당 정보에는 카드 종류, 소지자 국적, 카드 회원 등급, 비밀번호가 모두 들어 있었다.

이 같은 한국인의 개인정보는 다크웹에서 거래가 가장 활발한 것으로 알려졌다. 다른 국가의 개인정보에 비해 3∼10배에 이르는 ‘프리미엄’이 붙을 정도다. 한국은 디지털 인프라와 온라인 결제 등 금융 시스템이 잘 갖춰져 있어 인터넷 뱅킹, 본인인증 서비스 등이 일상적으로 사용된다. 이에 해커 등 공격자 입장에서 활용성이 높다는 것이 전문가들의 설명이다.

하지만 피해에 대한 보상이나 제재는 미미한 수준이다. 금감원 행정제재 공시에 따르면 하나카드와 현대카드 등 주요 카드사들은 지난 5년간 개인정보 유출을 사유로 3회 이상 제재를 받은 것으로 나타났다. 특히 현대카드는 14건의 지적을 받았으나, 금감원은 이에 대해 경영유의와 개선권고 조치를 통보를 통보하는 데 그쳤다. 이처럼 2014년 대형 사고 이후에도 카드사들은 해마다 유사한 사고로 제재를 받고 있지만, 당국의 처분은 업무 일부정지와 수천만원대 과태료에 그쳤고, 이렇다 보니 이후로도 비슷한 문제가 반복되고 있는 실정이다.

더욱이 2014년 사고 당시 수탁사 소속 개발자가 고객 정보를 무단으로 저장장치에 담아 외부로 유출한 것이 핵심이었음에도, 10년이 지난 지금까지도 카드사들은 위탁사에 대한 통제력을 제대로 확보하지 못하고 있는 것으로 드러났다. 상명대학교 연구에 따르면 카드사와 수탁사 간 위탁 관계가 복잡해질수록 정보보호 책임이 중요해짐에도 불구하고, 국내 카드사들의 외주 개발업체에 대한 점검과 보고 체계는 여전히 미흡한 형세다.