롯데카드가 960만 명의 회원을 보유하고 있음에도 해킹 사실을 17일이나 지나서야 인지한 것으로 드러나 논란이 커지고 있다.

2일 금융당국과 국회에 따르면 첫 내부 자료 유출은 지난달 14일 오후 7시 21분 발생했으며, 파일 유출 시도는 16일까지 3일간 이뤄졌다. 이후 16일에도 추가 유출 시도가 있었으나 실패한 것으로 확인됐다.

롯데카드는 지난달 26일 서버 동기화 과정에서야 간접적으로 침해 사실을 확인했고, 31일이 돼서야 온라인 결제 서버에서 외부 해커의 흔적을 발견했다. 결과적으로 최소 17일 동안 해킹 사실을 인지하지 못한 셈이다.

이번 해킹은 웹 서버에 악성 스크립트를 심어 원격 명령을 실행하는 ‘웹셸’ 공격으로 파악됐다. 보안업계는 “웹셸은 별도 인증 없이 시스템에 접근할 수 있어 개인정보 유출, 인접 시스템 공격으로 이어질 수 있다”고 우려했다.

웹셸 공격은 기본적으로 파일 업로드인 만큼, 롯데카드는 웹 방화벽 등을 통해 업로드되는 파일을 제어해야 한다. 업로드된 파일이 실행 권한을 가지지 못하도록 환경을 설정해야 하지만 실패했으며, 현재까지 어떤 경로로 유입됐는지 파악하지 못한 상태다.

금감원이 현재까지 파악한 내용에 따르면 유출된 데이터의 양은 약 1.7기가바이트(GB) 정도며, 고객 정보가 유출됐을 가능성이 높으며 온라인 결제 요청 내역 등 카드 정보가 포함됐을 가능성을 배제하지 않고 있다.

롯데카드는 “현재까지 개인정보 유출은 확인되지 않았다”면서도 “유출 가능 고객이 확인되면 카드 비밀번호 변경 등을 안내하겠다”고 밝혔다.

금감원은 금융보안원과 함께 롯데카드 현장검사에 착수했다. 이찬진 원장은 임원회의에서 “소비자 피해 예방을 최우선으로 하고 전자금융거래 안정성을 확보하라”며 “관리 소홀에 대해서는 엄정히 제재하겠다”고 강조했다.

또 혹시 모를 부정 사용에 대비해 피해액 전액을 보상하고, 전용 콜센터 운영·이상 금융거래 모니터링 강화 등을 지시했다.

한편 롯데카드는 불과 지난달 12일 국내 최고 수준의 보안 인증인 ISMS-P를 획득했다고 발표한 바 있어, 이번 해킹 사고로 신뢰도에 큰 타격을 입게 됐다.