롯데카드 해킹 사고는 오라클 웹로직의 취약점(CVE-2017-10271) 악용으로 발생했습니다. 사고 원인과 금융권의 보안 리스크를 구체적으로 분석해 드립니다.
1. 롯데카드 해킹 사고 개요
1-1. 사건의 발생 배경
2024년 7월 26일, 롯데카드는 온라인 결제 서버에 대한 외부 해킹 시도를 포착했습니다. 외부 해커가 서버 내부에 침투한 흔적이 발견되면서 전사적 비상 대응 체계가 즉시 가동되었고, 현재는 금융당국 및 외부 보안기관과 함께 정밀 조사를 진행 중입니다.
1-2. 공식 사과 및 피해 상황
롯데카드 조좌진 대표이사는 9월 4일 공개 사과문을 통해 “대표이사로서 무거운 책임을 통감하며 머리 숙여 깊이 사과드린다”며, “이번 사태의 모든 책임은 저와 롯데카드에 있다”고 밝혔습니다.
다행히도 현재까지 고객 정보 유출 등 치명적인 피해는 확인되지 않았지만, 롯데카드는 사전 예방 차원에서 의심 거래 실시간 모니터링, 24시간 고객센터 운영, 카드 재발급 조치 등의 선제 대응에 나섰습니다.
2. 웹로직 취약점 CVE-2017-10271이란?
2-1. 취약점의 기술적 설명
이번 해킹 사건의 원인으로 오라클 웹로직 서버의 취약점 CVE-2017-10271이 사용된 것이 확인되었습니다. 이는 T3 프로토콜을 통해 인증 없이 악성 직렬화 데이터를 전달하여 원격 코드 실행(RCE)이 가능한 취약점으로, 이미 2017년 오라클이 패치를 배포한 상태입니다.
CVSS 3.1 기준 점수: 7.5점 (High)
2-2. 왜 아직도 공격에 사용되었나?
해당 취약점은 7년 전 발견되어 패치가 배포되었음에도 불구하고, 롯데카드 시스템은 미처 패치되지 않은 환경이었던 것으로 보입니다. 이는 보안 시스템 관리의 허점 혹은 보안 업데이트 미비로 인해, 오래된 취약점이 여전히 위협이 될 수 있음을 상징합니다.
3. 롯데카드의 대응 조치 및 문제점
3-1. 긴급 대응 및 카드 재발급
롯데카드는 사건 직후 다음과 같은 조치를 취했습니다:
-
의심 거래 실시간 모니터링 시스템 강화
-
24시간 고객센터 운영체제 전환
-
당시 서버를 통해 결제한 고객 대상 카드 재발급
-
내부 보안 점검 및 외부 보안기관과의 합동 조사
고객의 불안 해소를 위한 적극적인 대처로 보이지만, 기술적 취약점에 대한 사전 예방이 부족했다는 지적은 피하기 어렵습니다.
3-2. 정보보호 투자 감소의 문제
롯데카드의 ‘2024 지속가능경영보고서’에 따르면 정보보호 예산 비중이 2021년 12% → 2023년 8%로 감소했습니다. 이는 금융권 전체적인 보안 투자 하락 추세와도 맞물리며, 이번 해킹 사고의 구조적 원인으로 지목되고 있습니다.
4. 금융권 보안 투자 현실과 과제
4-1. 국내 금융사 보안 예산 현황
2023년 금융권 전체 IT 예산은 약 9조 4,412억 원이며, 이 중 정보보호 예산은 9,103억 원으로 약 9.6%에 불과합니다. 대부분의 금융기관은 매출 압박과 비용 효율화 문제로 보안 투자가 우선순위에서 밀리는 상황입니다.
4-2. 해외 사례와의 비교 분석
미국 IANS 리서치에 따르면, 미국 기업은 전체 IT 예산의 평균 13.2%를 보안에 투자합니다. 이는 국내 평균보다 약 3.6%p 높은 수준이며, 보안에 대한 전략적 접근의 차이를 보여줍니다.
보안은 비용이 아닌 투자임을 인식하는 기업 문화가 필요합니다.
5. 향후 대응 방향과 보안 강화를 위한 제언
5-1. 금융기관이 취해야 할 조치
-
보안 패치 관리 자동화 도입
-
외부 보안진단 주기적 수행
-
보안 인력 확충 및 교육 강화
-
취약점 관리 시스템(VMS) 도입
롯데카드는 "피해 발생 시 전액 보상"을 약속했지만, 사후 대응보다는 사전 예방이 핵심입니다.
5-2. 기업 보안문화의 재정립 필요
보안은 단순한 IT 문제가 아닌 기업 전체의 리스크 관리 전략입니다. 경영진의 보안 인식 전환이 필요하며, ISMS 인증뿐만 아니라 실제 보안운영의 내실화가 중요합니다.
0 댓글