960만 회원 롯데카드 해킹...17일 만에 알았다

  • 등록 2025.09.02 18:57:39
크게보기

서버 동기화 과정서 뒤늦게 침해 사실 확인
개인정보 포함 가능성 높아 소비자 불안 확산

 

약 960만 명의 회원을 보유한 롯데카드가 해킹 피해 사실을 상당 기간 뒤늦게 인지한 것으로 드러나 보안 관리에 대한 논란이 커지고 있다.

 

2일 금융당국과 국회 등에 따르면 최초 내부 자료 유출은 지난달 14일 오후 7시 21분 발생한 것으로 파악됐다. 이후 파일을 빼내려는 시도가 16일까지 사흘 동안 이어졌고, 같은 날 추가 유출을 시도한 정황도 있었지만 이 부분은 실패한 것으로 알려졌다.

 

롯데카드는 지난달 26일 서버 동기화 과정에서 시스템 이상을 확인하면서 침해 가능성을 처음 인지했다.

 

이어 31일 온라인 결제 서버에서 외부 해커의 흔적을 발견하면서 실제 침입 정황을 확인했다. 결과적으로 해킹 발생 시점으로부터 최소 17일 동안 이를 알아차리지 못했던 셈이다.

 

금융당국은 이번 공격이 웹 서버에 악성 스크립트를 심어 원격 명령을 실행하는 이른바 ‘웹셸(Web Shell)’ 공격 방식으로 이뤄진 것으로 보고 있다.

 

보안 전문가들은 “웹셸이 설치되면 별도의 인증 절차 없이 시스템에 접근할 수 있어 개인정보 유출이나 다른 서버로의 추가 공격으로 이어질 위험이 크다”고 지적한다.

 

이 같은 공격은 보통 파일 업로드 과정의 취약점을 통해 이뤄진다. 따라서 웹 방화벽을 통한 파일 통제나 업로드 파일의 실행 권한 제한 등의 보안 조치가 필요하다.

 

그러나 롯데카드 시스템에서는 이러한 통제가 제대로 작동하지 않았을 가능성이 제기되고 있으며, 해킹 파일이 어떤 경로로 유입됐는지는 아직 확인되지 않았다.

 

금융감독원이 현재까지 확인한 바로는 외부로 빠져나간 데이터 규모는 약 1.7GB 수준으로 추정된다. 고객 정보가 포함됐을 가능성이 있다. 또 온라인 결제 요청 기록 등 카드 관련 정보가 유출됐을 가능성도 배제할 수 없다.

 

롯데카드는 “현재까지 개인정보 유출 여부는 확인되지 않았다”고 설명하면서도 “유출 가능성이 있는 고객이 확인될 경우 카드 비밀번호 변경 등 필요한 안내를 진행할 계획”이라고 밝혔다.

 

금감원은 금융보안원과 함께 현장 검사에 착수했다. 이찬진 금융감독원장은 임원회의에서 “소비자 피해를 막는 것이 최우선”이라며 “전자금융거래의 안정성을 확보하고 관리 부실이 확인되면 엄정하게 조치하겠다”고 강조했다.

 

또 부정 사용 가능성에 대비해 피해 금액 전액 보상과 전담 콜센터 운영, 이상 금융거래 탐지 시스템 강화 등의 대응도 주문했다.

 

이번 사건에서는 개인정보 유출 사실을 언제 인지했는지와 이후 통지 의무를 제대로 이행했는지도 주요 쟁점이 될 전망이다.

 

개인정보보호법 제34조는 개인정보가 유출된 사실을 알게 된 경우 개인정보 처리자가 정보주체에게 지체 없이 유출 사실과 항목, 대응 조치 등을 통지하도록 규정하고 있다.

 

시행령은 원칙적으로 ‘알게 된 때’로부터 72시간 이내 통지를 요구하고 있으며, 유출 범위가 완전히 확인되지 않았더라도 우선 통지한 뒤 추가 사실을 확인해 다시 안내하도록 하고 있다.

 

또 카드사처럼 개인신용정보를 다루는 금융회사의 경우 신용정보의 이용 및 보호에 관한 법률 제39조의4에 따라 개인신용정보 누설이 발생하면 정보주체에게 통지해야 한다.

 

아울러 일정 규모 이상의 유출이 확인될 경우 금융위원회나 금융감독원에 신고 의무도 발생한다. 시행령은 누설 규모가 1만 명 이상일 경우 홈페이지 게시나 매장 공지, 신문 공고 등을 통해 알리도록 규정하고 있다.

 

소비자 피해와 관련해서는 실제 금전 피해와 개인정보 유출 자체로 인한 손해배상 문제가 별도로 검토될 수 있다.

 

개인정보보호법 제39조의2는 개인정보 처리자의 고의 또는 과실로 개인정보가 유출된 경우 정보주체가 300만원 이하 범위에서 법정손해배상을 청구할 수 있도록 규정하고 있다.

 

다만 법원은 개인정보가 유출됐다는 사실만으로 곧바로 손해를 인정하지는 않는다는 입장이다.

 

실제로 2014년 서울중앙지방법원은 “카드 고객정보 유출 사건에서 유출 정보의 성격과 확산 가능성, 제3자 열람 가능성 등을 종합적으로 고려해 손해배상 여부를 판단해야 한다”고 판시한 바 있다.

 

따라서 이번 사건에서도 실제 고객 정보가 유출됐는지, 유출 정보가 제3자에게 전달되거나 범죄에 이용될 가능성이 있었는지, 카드사의 보안 관리가 적절했는지 등이 향후 책임 판단의 핵심 쟁점이 될 것으로 보인다.

 

롯데카드는 불과 지난달 12일 개인정보 보호와 정보보안 관리 체계를 인증하는 ISMS-P 인증을 획득했다고 발표한 바 있어 이번 해킹 사고로 보안 신뢰도에 상당한 타격이 예상된다.

박혜민 기자 의 전체기사 보기
박혜민 기자 wwnsla@sisalaw.com
Copyright @더시사법률 Corp. All rights reserved.

LOGO

창닫기