계속된 개인 정보 유출 사고로 소비자들의 원성이 높아지고 있다. 올해 들어 통신사, 금융권, 전자상거래 등 분야를 가리지 않고 연이은 해킹 사고가 발생함과 더불어 그 규모 또한 대형화되는 추세다. 보안 업계는 사이버 공격이 증가한 이유로 기업의 디지털 전환 가속화, AI를 활용한 공격 기술 고도화, 국가 주도 해킹 증가, 시스템 취약점 방치 등을 주요 요인으로 지목한다. 해킹이 한 번 발생하면 금융범죄 등 2차, 3차 피해까지 확산될 수 있어 각별한 주의가 필요하다. ‘대해킹의 시대’에서는 각 산업별로 해킹 원인과 대응방안, 재발방지 대책 등을 짚어보고자 한다. 

▲ (자료사진)  © 문화저널21 DB

대해킹의 시대… 소비자 불안 확산

통신·금융·전자상거래 전방위 공격

올해 들어 제2금융권 잇단 공격

롯데카드 ‘역대급 해킹’에도 17일간 몰랐다

그동안 금융권에서는 주로 은행과 금융투자업계 등 제1금융권에 보안 공격이 집중돼왔다. 하지만 올해는 다르다. 제2금융권으로 사이버 공격이 집중되는 모양새다. 올해에만 ▲대형 법인보험대리점(GA) 2곳 개인정보 유출 ▲KB라이프생명 서버 해킹 ▲SGI서울보증 전산장애 ▲웰컴금융그룹 계열사 웰릭스에프앤아이대부 랜섬웨어 공격 등 사건이 잇따랐다. 

카드사의 대형 해킹사태도 발생했다. 지난달 신용카드 업계 6위인 롯데카드에서 1.7GB 규모의 정보가 유출되며, 금융·통신업 전반을 통틀어 역대급 해킹 사고라는 평가가 나오고 있다.

롯데카드사 해킹은 2종의 악성카드와 5종의 웹셸을 통해 이뤄진 것으로 파악됐다. 웹셸은 해커가 원격으로 웹 서버를 제어할 수 있도록 하는, 웹 서버에 특화된 악성 코드다. 이어 온라인 결제 서버에서 해커가 자료 유출을 시도한 흔적도 확인했다.

금융당국 조사 결과, 롯데카드가 사고 발생 17일이 지나서야 사고를 인지한 것으로 드러나 ‘늑장 대응’ 비판도 제기됐다. 

2일 금융감독원이 국회 정무위원회 소속 강민국 의원실에 보고한 자료에 따르면 롯데카드에 최초 해킹 사고가 발생한 시점은 지난달 14일 오후 7시 21분께다. 이날과 15일 이틀에 걸쳐 온라인 결제 서버 해킹이 이뤄졌고 지난달 16일에도 해킹 시도가 이어졌다. 그러나 롯데카드가 해킹 사고를 인지한 시점은 지난달 31일 정오께로 알려졌다.

8년 된 취약점 방치… 보안 예산도 줄인 롯데카드

제2금융권, 인력·예산 부족에 ‘보안 사각’ 방치

전문가들은 이번 대규모 해킹 사태의 원인으로 ‘미비한 보안체계’를 꼽는다. 특히 이번 공격이 고도화된 공격이 아니라 이미 8년 전 공개된 취약점을 악용한 단순한 수법으로 공격이 이뤄졌다는 점에 주목한다. 해커는 오라클 웹로직의 취약 (CVE-2017-10271)을 이용해 서버 관리자 권한을 탈취하고 웹셸을 심어 공격을 이어갔다. 오라클은 2017년 해당 취약점을 이미 패치했으나 롯데카드는 이를 적용하지 않아 ‘기본 보안’조차 지키지 못했다는 비판을 받고 있다.

실제 롯데카드는 정보보호 예산도 줄인 것으로 나타났다. 지난해 롯데카드의 정보보호 예산은 2021년에 비해 약 15% 감소한 것으로 나타났다. 8일 윤한홍 국민의힘 의원실이 금융감독원으로부터 제출받은 자료에 따르면, 지난해 말 롯데카드의 네트워크 보안 관련 지출은 116억 원으로 집계됐다. 이는 2022년 말(114억 원)보다는 1.7% 늘어난 수준이지만, 2021년(137억 원)과 비교하면 14.7% 줄어든 수치다.

전문가들은 제2금융권이 제1금융권에 비해 보안 투자가 상대적으로 부족하다고 입을 모은다. 금융권은 정보보호 공시 의무에서도 제외돼 있을뿐더러 중소형사의 경우 기본 보안 체계조차 갖추지 못한 경우가 많다. 모바일·웹 서비스 확대로 외부 접점은 늘어나고 있으나 전문 인력과 시스템은 뒤따르지 못하고 있다는 평가다.

24시간 상담·전액 보상 약속, 고객 달래기에 총력

롯데카드는 고객 불안 최소화와 피해확산을 막기 위해 전사적 비상대응체계를 가동하고 전담 콜센터를 신설한다고 3일 밝혔다. 

사측은 “고객 보호를 위해 강화된 대응책을 시행한다”며 ARS 메뉴에 ‘개인정보 유출 가능성 전용 상담(1번→9번)’을 마련해 24시간 상담을 제공하고 있다고 밝혔다.

또 비밀번호 변경, 카드 재발급, 탈회 관련 문의가 몰리는 상황에 대응하기 위해 고객센터를 오후 10시까지 연장 운영하고 영업시간 외에도 지속 운영할 방침이다.

앱과 홈페이지에는 비밀번호 변경, 해외거래 차단, 재발급 신청을 위한 간편 링크가 추가됐다. 다만 탈회는 잔여 포인트 및 미결제 금액 확인이 필요해 상담원 연결 후 가능하다.

피해 발생 시 전액 보상도 약속했다. 조좌진 롯데카드 대표이사는 4일 사과문을 통해 “침해 사고로 인해 발생한 피해에 대해서는 저희 롯데카드가 책임지고 전액을 보상해 드릴 것을 대표이사로서 고객 여러분께 약속 드린다"고 했다.

여신전문금융업법상 카드사는 해킹에 따른 카드 부정 사용이 발생하면 보상 책임을 부담하게 돼 있다.

“보안 체계 강화” 약속… 구체적 재발방안은 미흡

정부는 과징금 예고, 전문가들은 “사전 예방이 해법”

롯데카드는 재발방지를 위해 국내·외 모든 이상금융거래 모니터링을 강화하겠다는 뜻을 밝혔가. 조 대표이사는 "동일한 사고가 반복되지 않도록 회사 전반의 보안 체계를 강화하고 변화와 혁신을 직접 이끌어 나가겠다"고 밝히기도 했다. 하지만 모니터링 강화 외에 아직 구체적 재발 방안은 나오지 않았다.

정부 차원에서는 징벌적 과징금 부과 등 강경한 제재책을 예고했지만 일각에서는 “사후 규제 강화만으로는 근본적 해결이 어렵다”는 지적도 제기된다. 

널리 알려진 취약점이 방치된 점을 고려하면, 정기적인 보안 점검과 취약점 관리, 구체적 가이드라인 제공 등 사전 예방책이 필요하다는 것이다. 특히 인력·예산이 부족한 중소형 제2금융사는 자율적인 보안 체계 구축이 어렵기 때문에 정부 차원의 지원과 교육이 병행돼야 한다는 목소리가 크다.

문화저널21 이정경 기자