| 스마트에프엔 = 한시온 기자 | 롯데카드에서 내부 파일 유출 시도가 3일간 이어졌음에도 불구하고 이를 인지하지 못한 채, 해킹 발생 17일 만에 금융당국에 뒤늦게 신고한 사실이 드러났다.
3일 국내 주요 언론 보도에 따르면, 롯데카드는 지난달 26일 서버 점검 과정에서 일부 서버의 악성코드 감염 사실을 확인하고 전체 서버에 대한 정밀 조사를 실시했다. 이 과정에서 3개 서버에서 2종의 악성코드와 5종의 웹쉘(해커가 서버를 원격 조작하기 위해 몰래 심어놓는 프로그램 코드)이 발견됐다.
이어 지난달 31일, 롯데카드는 온라인 결제 서버에서 외부 공격자가 자료를 유출하려 한 흔적을 발견해 9월 1일 금융당국에 이를 신고했다.
그러나 금융감독원이 국회 강민국 국민의힘 의원실에 보고한 자료에 따르면, 내부파일이 처음 유출된 시점은 지난달 14일 오후 7시 21분경이었고 유출 시도는 8월 16일까지 이어졌다. 이 기간 중 실제 유출은 14일과 15일 각각 한 차례씩 총 두 차례 발생했다. 유출 경로는 온라인 결제 서버 해킹을 통한 것으로 확인됐으며, 16일에도 해킹 시도가 있었지만 자료 반출에는 실패했다.
문제는 롯데카드가 이를 파악한 시점이 최초 해킹 발생 후 17일이나 지난 지난달 31일이었다는 점이다. 금융감독원이 확인한 내부 파일 유출 시점과 롯데카드가 사고를 인지한 시점 사이에 17일이나 차이가 났다. 이 때문에 롯데카드가 사실을 알고도 늑장 신고를 했거나, 보안 대응 능력 부족으로 인지가 늦어진 것 아니냐는 지적이 나온다.
이번 해킹으로 1.7GB의 데이터가 외부로 유출된 것으로 파악됐지만 롯데카드 측은 현재까지 조사 결과 개인 정보 유출은 없었다는 설명이다.
여신전문금융업법에 따르면 해킹, 전산장애, 내부자 정보 유출 등 부정한 방법으로 신용카드 정보가 사용된 경우 카드사는 해당 회원에 대한 책임을 져야 한다.
롯데카드는 향후 대책으로 백신 추가 설치, 악성코드 진단, 유출 가능성이 있는 고객 확인 후 카드 비밀번호 변경 안내 등을 추진하겠다고 금감원에 보고했다.
강민국 의원에 따르면 금감원은 “반출된 파일의 구체적 내용은 확인 중이지만 반출에 실패한 파일을 토대로 추정할 때 카드 정보와 온라인 결제 요청 내역이 포함된 것으로 보인다”고 밝혔다. 한편 금감원은 롯데카드가 9월 1일 해킹 사실을 보고하자 다음 날인 2일 즉시 현장검사에 착수해 현재 금융보안원과 함께 고객정보 유출 여부 등 사실관계를 확인 중이다.
강 의원은 “올해 6월까지 발생한 해킹 사고가 4건, 유출된 정보가 3142건에 달한다는 것은 해킹 피해에 비해 금융당국의 제재 수위가 낮기 때문”이라며 “해킹으로 인한 개인정보 유출은 2차·3차 범죄로 이어질 수 있는 대형 금융 사고이므로 금융 당국의 제재 강화 방안 마련이 시급하다”고 강조했다.
롯데카드 관계자는 해킹 사고 인지와 보고가 늦어진 이유에 대해 “8월 14일 이전에는 해킹 시도를 전혀 파악하지 못했고, 8월 31일 외부 공격자의 자료 유출 시도를 발견했지만 당시가 일요일 오후여서 다음날인 9월 1일 금융당국에 보고했다”고 설명했다.
또 고객 정보 피해 여부에 대해서는 “현재까지 확인된 바로는 개인정보 유출은 전혀 없다”고 밝혔다.
- '해킹' 당한 롯데카드, "24시간 상담창구·부정사용 시 선보상"
- 롯데카드 해킹···최대 967만명 정보 위협, 1.7GB 데이터 유출
- SGI·웰컴금융 연쇄 해킹에 금감원 현장 검사 착수
- KT·LG유플러스는 해킹 청정지대?···과기정통부 "침해 사고 여부 조사중"
- 조좌진 롯데카드 대표, 해킹 사태에 "변명 여지 없어, 전액 보상"
- KT 소액결제 해킹 '오리무중'···기존 사이버 범죄와 차이
- KT, 광명 일대 소액결제 피해 KISA 신고
- 롯데카드 해킹 충격···피해 규모 대폭 확대
- 롯데카드, 해킹으로 297만명·200GB 정보 유출···"전액 보상"