✍️ 작성 = 라이브이슈KR 김기자
롯데카드 해킹사고가 공식 확인되면서 금융권 전반에 사이버 보안 경보가 울리고 있습니다.
이번 사고는 지난달 14일부터 16일까지 온라인 결제 서버에 시도된 외부 해킹으로 시작됐으며, 31일에야 내부 보안팀이 침입을 인지한 것으로 파악됐습니다.
“고객 여러분께 깊이 사과드립니다. 피해가 발생한다면 전액 보상하겠습니다.” – 조좌진 롯데카드 대표
대표이사의 공식 사과에도 불구하고 960만 명 규모의 개인정보 유출 가능성이 제기돼 파장이 커지는 상황입니다.
이미지 출처: 한국일보
1. 사고 경위와 해킹 수법 🔍
금융감독원에 따르면 공격자는 온라인 결제 서버의 취약한 인증 모듈을 파고들어 총 1.7GB 분량의 데이터를 단계적으로 탈취했습니다.
악성코드가 백도어 형태로 은밀히 설치돼 17일간 탐지망을 피해 있었던 것이 뒤늦은 대응으로 이어졌습니다.
2. 왜 17일이나 걸렸나? ⏳
내부 보안 로그가 분산 저장돼 있었고, AI 기반 탐지 룰이 온라인 결제 트래픽을 정상 흐름으로 오인한 것이 원인으로 지목됩니다.
3. 유출 의심 정보 범위 ⚠️
롯데카드는 “카드번호·유효기간·CVC 등 핵심 결제 정보는 암호화돼 있다”고 해명했지만, 비식별 토큰·결제 빌링키가 노출됐을 가능성을 배제하지 않고 있습니다.
4. 고객 피해 우려 & 실제 사례 💳
일부 커뮤니티에는 해외 가맹점 소액 결제 알림이 급증했다는 글이 잇따릅니다. 아직 공식 확인은 없으나 ‘소액 테스트 후 대량 결제’ 방식이 우려됩니다.
이미지 출처: 보안뉴스
5. 롯데카드의 즉각 대응 🛡️
회사 측은 의심 거래 실시간 차단 시스템을 가동하고, 사고 기간에 온라인 결제를 진행한 고객을 대상으로 무상 카드 재발급을 안내 중입니다.
6. 금융당국·금보원의 현장 검사 🔬
금감원·금융보안원 합동조사팀이 로그 원본·네트워크 패킷을 확보해 공격자 이동 경로를 역추적하고 있습니다.
7. ISMS-P 인증 실효성 논란 🏛️
사고 이틀 전 ISMS-P 재인증을 받았다는 사실이 알려지며 “서류 중심 심사가 아니냐”는 비판이 쏟아집니다.
8. 전문가 분석과 제언 🗣️
한국인터넷진흥원 관계자는 “제로트러스트 아키텍처 도입과 보안 관제 외주 의존도 감소가 급선무”라고 강조했습니다.
9. 고객이 지금 해야 할 일 ✔️
- 카드 사용 내역 1일 1회 이상 점검
- 모바일 앱에서 해외결제 차단·일일 한도 설정
- SMS 피싱 링크 주의 – “재발급 클릭” 안내는 100% 사기!
10. 유사 사례와 시사점 🏦
2014년 KB국민카드·NH농협카드 정보유출 이후 ‘징벌적 과징금’이 거론됐으나 실질적 변화는 미흡했습니다.
11. 재발 방지 로드맵 🗺️
롯데카드는 AI 기반 이상거래 탐지, EDR 전면 도입, 화이트해커 모의침투 프로그램을 약속했습니다.
12. 업계 파급효과 🌐
타 카드사들은 긴급 보안 점검에 착수했고, 일부는 클라우드 구간 전수 감사를 예고했습니다.
13. 법·제도 개선 움직임 📜
국회 정무위는 ‘개인정보 손해배상 3배제’ 확대와 금융사 사고보고 24시간 내 의무화 법안을 예고했습니다.
14. 소비자 단체의 요구 🙋♀️
금융소비자연맹은 “집단분쟁조정을 통한 신속 배상
·평생 무료 모니터링 서비스 제공”을 촉구했습니다.
15. 향후 전망과 체크포인트 🔮
당국 조사 결과가 발표되면 과징금·징계 수위가 가려질 예정입니다. 무엇보다 고객 신뢰 회복이 관건입니다.
💡 정리 – ‘롯데카드 해킹사고’는 단순 해프닝이 아닌 국내 금융보안 체계의 총체적 점검을 요구하는 신호탄입니다.
라이브이슈KR은 향후 조사 결과·보상 절차·재발 방지안을 지속적으로 모니터링해 독자 여러분께 신속히 전달하겠습니다.
