약 960만 명의 회원을 보유한 롯데카드가 해킹 피해를 상당 기간 뒤늦게 인지한 것으로 드러나 보안 관리 부실 논란이 커지고 있다.
2일 금융당국과 국회 등에 따르면 최초 내부 자료 유출은 지난달 14일 오후 7시 21분 발생한 것으로 파악됐다. 이후 파일 유출 시도가 16일까지 사흘간 이어졌고 같은 날 추가 시도도 있었지만 실패한 것으로 알려졌다.
롯데카드는 지난달 26일 서버 동기화 과정에서 시스템 이상을 확인하면서 침해 가능성을 처음 인지했다.
이어 31일 온라인 결제 서버에서 외부 해커의 흔적을 발견하며 실제 침입 정황을 확인했다. 결과적으로 해킹 발생 시점부터 최소 17일 동안 이를 인지하지 못한 셈이다.
금융당국은 이번 공격이 웹 서버에 악성 스크립트를 심어 원격 명령을 실행하는 ‘웹셸(Web Shell)’ 방식으로 이뤄진 것으로 보고 있다.
보안 전문가들은 “웹셸이 설치되면 별도의 인증 없이 시스템 접근이 가능해 개인정보 유출이나 추가 공격으로 이어질 위험이 크다”고 지적한다.
이 같은 공격은 통상 파일 업로드 과정의 취약점을 통해 이뤄진다. 이에 따라 웹 방화벽을 통한 파일 통제와 업로드 파일의 실행 권한 제한 등의 보안 조치가 필요하다는 설명이다.
다만 롯데카드 시스템에서는 이러한 통제가 제대로 작동하지 않았을 가능성이 제기된다. 해킹 파일이 유입된 경로는 아직 확인되지 않았다.
금융감독원이 현재까지 파악한 외부 유출 데이터 규모는 약 1.7GB 수준으로 추정된다. 고객 정보가 포함됐을 가능성이 있으며 온라인 결제 요청 기록 등 카드 관련 정보 유출 가능성도 배제할 수 없다.
롯데카드는 “현재까지 개인정보 유출 여부는 확인되지 않았다”고 밝히면서도 “유출 가능성이 있는 고객이 확인될 경우 카드 비밀번호 변경 등 필요한 조치를 안내할 계획”이라고 설명했다.
금감원은 금융보안원과 함께 현장 검사에 착수했다. 이찬진 금융감독원장은 임원회의에서 “소비자 피해 방지가 최우선”이라며 “전자금융거래 안정성을 확보하고 관리 부실이 확인되면 엄정 조치하겠다”고 강조했다.
또 부정 사용 가능성에 대비해 피해 금액 전액 보상과 전담 콜센터 운영, 이상 금융거래 탐지 시스템 강화 등을 주문했다.
이번 사건에서는 개인정보 유출 인지 시점과 이후 통지 의무 이행 여부가 핵심 쟁점으로 떠오르고 있다.
개인정보보호법 제34조는 개인정보 유출 사실을 알게 된 경우 정보주체에게 지체 없이 유출 사실과 항목, 대응 조치 등을 통지하도록 규정하고 있다.
시행령은 원칙적으로 ‘인지 시점’부터 72시간 이내 통지를 요구한다. 유출 범위가 완전히 확인되지 않았더라도 우선 통지한 뒤 추가 확인 사항을 안내하도록 하고 있다.
또 카드사처럼 개인신용정보를 처리하는 금융회사의 경우 신용정보의 이용 및 보호에 관한 법률 제39조의4에 따라 정보 누설 시 별도의 통지 의무가 발생한다.
아울러 일정 규모 이상의 유출이 확인되면 금융위원회나 금융감독원에 신고해야 한다. 시행령은 누설 규모가 1만 명 이상일 경우 홈페이지 게시, 매장 공지, 신문 공고 등을 통해 알리도록 규정하고 있다.
소비자 피해와 관련해서는 금전적 피해와 별도로 개인정보 유출 자체에 따른 손해배상 문제도 검토 대상이 된다.
개인정보보호법 제39조의2는 개인정보 처리자의 고의 또는 과실로 정보가 유출된 경우 정보주체가 300만원 이하 범위에서 법정손해배상을 청구할 수 있도록 규정한다.
다만 법원은 개인정보 유출 사실만으로 곧바로 손해를 인정하지는 않는다는 입장이다.
실제로 2014년 서울중앙지방법원은 카드 고객정보 유출 사건에서 유출 정보의 성격과 확산 가능성, 제3자 접근 가능성 등을 종합적으로 고려해 손해배상 여부를 판단해야 한다고 판시한 바 있다.
따라서 이번 사건에서도 실제 고객 정보 유출 여부와 제3자 전달 가능성, 범죄 이용 가능성, 카드사의 보안 관리 수준 등이 책임 판단의 핵심 기준이 될 전망이다.
롯데카드는 불과 지난달 12일 개인정보 보호와 정보보안 관리 체계를 인증하는 ISMS-P 인증을 획득했다고 발표한 바 있어 이번 해킹 사고로 보안 신뢰도에 상당한 타격이 예상된다.
