금융감독원이 해킹 공격을 당한 롯데카드 현장 검사에 착수했다.
2일 금감원은 금융보안원과 롯데카드 고객정보 유출 여부 등 사실관계를 확인하고 있다고 밝혔다.
금감원이 강민국 의원실에 제출한 자료에 따르면 롯데카드에서 처음 해킹 사고가 발생한 시점은 지난달 14일이다. 보름이 넘게 지난 시점에서야 해당 사실을 인지하고 지난달 31일에 금융당국에 신고를 마쳤다. 롯데카드는 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 것을 확인하고, 전체 서버를 점검하는 과정에서 3개 서버에서 2종의 악성코드와 5종의 웹셸(web shell)을 발견해 삭제했다고 밝혔다.
정보보호 전문가들은 롯데카드 서버에서 웹셸 3종이 발견된 점에 주목한다. 웹셸은 해커가 웹서비스를 제공하는 웹서버에 몰래 숨어들어 원격으로 서버를 조종할 수 있도록 만든 해킹 프로그램이다. 웹셸이 실행되면 공격자는 원격으로 웹 서버를 제어할 수 있는 셸(Shell) 권한을 얻는다.
한 사이버 보안기업 대표는 “악성코드는 해커가 해킹하고 난 뒤 남겨진 일종의 현상일 뿐 근본 원인이 아니다”라며 “웹셸이 발견됐다면 웹셸을 최초 관문으로 봐야하며 해커가 취약한 웹보안을 고리로 침투했을 가능성이 높다”고 말했다. 그러면서 “구버전의 웹환경으로 보안 취약점을 드러낸 형국”이라고 덧붙였다. 이미 서버 내에 일정기간 잠복해 있던 만큼 롯데카드가 금감원에 보고한 데이터 외에도 추가적인 정보가 빠져나갔을 가능성을 배제할 수 없다는 의미다.
롯데카드가 금감원에 보고한 유출 정보는 1.7Gb 안팎으로 집계된다. 거래 데이터의 경우 텍스트 파일 형태로 저장되는 만큼 약 못해도 두세달 상당의 거래 정보가 담겼 것으로 추정하고 있다. 유출된 거래 정보를 바탕으로 추가적인 공격 시도가 있을 가능성도 존재한다.
해킹 공격이 롯데카드가 ISMS-P 인증을 취득한지 한 달도 채 지나지 않아 벌어진 사건이라는 점도 문제다. 정보보안업계에 따르면 이번 공격은 이미 2017년 발견돼 패치 배포까지 완료된 취약점이 매개가 된 것으로 알려졌다. 금융권의 보안 인증이 형식적 점검 항목 준수에만 그친 셈이다.
한편 제 2의 소비자 피해가 우려되면서 금융당국은 롯데카드에 전용 콜센터를 운영하고, 카드 부정사용 등 피해 발생 시 피해액 전액을 보상하는 절차를 마련할 것을 지시했다. 이찬진 금융감독원장은 임원회의에서 롯데카드 해킹 사고 관련 소비자 피해 예방 조치 내용을 밝혔다. 금감원에 비상대응체계를 가동하고 현장검사를 통해 사고 원인 및 피해 규모 등을 점검하라고 지시했다. 이 원장은 롯데카드 측에도 소비자 피해 최소화를 위한 방안을 마련하도록 조치했다고 밝혔다.
류근일 기자 ryuryu@etnews.com, 조재학 기자 2jh@etnews.com, 정다은 기자 dandan@etnews.com
