“금융 보안은 뚫리면 끝이 아니라, 늦게 발견되면 더 위험하다”

2025년 롯데카드에서 약 297만 명 규모의 개인정보 유출 사고가 발생했습니다. 특히 카드번호, 유효기간, CVC(Card Verification Code) 등 실제 금융 범죄에 악용될 수 있는 핵심 정보까지 일부 포함되면서 금융권 전체에 큰 충격을 주었습니다. 이번 사건은 단순 개인정보 유출이 아니라:

  • 금융 정보 유출
  • 웹쉘(Web Shell) 기반 장기 침투
  • 취약점 패치 실패
  • 침해 탐지 지연
  • 보안 운영 부실
  • 반복적 보안 사고

등 여러 문제가 복합적으로 드러난 사례였습니다.

특히 금융권에서는 “공격을 완벽히 막는 것보다, 얼마나 빨리 탐지하는가가 더 중요하다”는 현실을 다시 보여준 사건으로 평가됩니다.

사건 개요

조사 결과에 따르면 공격자는 2025년 8월 롯데카드 서버를 해킹했고, 회사는 약 17일 동안 침해 사실을 인지하지 못했습니다.

이 과정에서

  • 고객 개인정보
  • 온라인 결제 정보
  • 암호화된 카드번호
  • 카드 비밀번호 일부
  • 유효기간
  • CVC

등이 유출된 것으로 조사되었습니다.

특히 약 28만 명 규모는 실제 카드 부정 사용 가능성이 존재하는 수준으로 분석되었습니다.

이후 금융당국은

  • 영업정지 4.5개월
  • 과징금 50억 원
  • 대표이사 중징계

등 강도 높은 제재를 추진했습니다.

공격 방식 분석

1. 오래된 서버 취약점 공격

보안 업계 분석에 따르면 공격자는

  • Oracle WebLogic 서버 취약점
  • CVE-2017-10271

을 악용한 것으로 알려졌습니다.

이 취약점은 대표적인 원격 코드 실행(RCE) 취약점입니다.

즉 공격자는 인터넷을 통해:

  • 서버 명령 실행
  • 악성코드 설치
  • 웹쉘 업로드

를 수행할 수 있었습니다.

문제는 이 취약점이:

  • 이미 수년 전 공개되었고
  • 패치 방법도 존재했으며
  • 실제 공격 사례도 많았다는 점입니다.

즉 “알려진 취약점”이 장기간 방치되었을 가능성이 제기되었습니다.

웹쉘(Web Shell)의 위험성

조사에서는

  • 악성코드 2종
  • 웹쉘 5종

이 발견되었습니다.

웹쉘은 공격자가 서버 내부에 심어두는 “원격 조종 도구”입니다.

쉽게 말하면 해커용 비밀 관리자 페이지와 비슷합니다.

웹쉘이 설치되면 공격자는

  • 파일 다운로드
  • DB 접근
  • 명령 실행
  • 추가 악성코드 설치
  • 내부망 이동

등을 자유롭게 수행할 수 있습니다.

특히 웹쉘은 일반적인 악성코드보다 탐지가 어렵습니다.

왜냐하면

  • 정상 웹 트래픽처럼 보이고
  • HTTP/HTTPS 기반이며
  • 관리자 명령과 구분이 어려운 경우가 많기 때문입니다.

왜 17일 동안 몰랐을까

이번 사건에서 가장 큰 문제 중 하나는
“침해 사실을 너무 늦게 발견했다”
는 점입니다.

현대 보안에서는

  • 침입 자체보다
  • 탐지 속도(MTTD)
  • 대응 속도(MTTR)

가 더 중요합니다.

하지만 롯데카드는 공격 발생 후 보름 이상 침해를 인지하지 못했습니다.

이는 다음 가능성을 시사합니다.

  • 실시간 모니터링 부족
  • SIEM 운영 미흡
  • EDR 탐지 실패
  • 로그 분석 체계 부족
  • SOC(Security Operation Center) 대응 한계

금융권에서 왜 더 위험한가

전자상거래 개인정보 유출과 금융정보 유출은 차원이 다릅니다.

금융 정보에는 카드번호, 결제 정보, 인증 정보, 소비 패턴, 신용 정보 등 실제 금전 피해로 이어질 수 있는 정보가 포함됩니다.

특히 카드번호 + 유효기간 + CVC 조합은 온라인 결제 악용 위험성이 매우 큽니다.

금융권은 일반 기업보다 훨씬 높은 수준의 보안이 요구되는 이유가 여기에 있습니다.

롯데카드 보안 체계의 문제점

1. 패치 관리 실패

이번 사건 핵심 문제 중 하나는 알려진 취약점을 방치했다”는 점입니다.

기업 서버는

  • 운영 중단 위험
  • 서비스 호환성 문제
  • 레거시 시스템 의존성

때문에 패치를 미루는 경우가 많습니다.

하지만 공격자는 바로 이런 오래된 시스템을 노립니다.

특히 금융권은

  • 오래된 WAS
  • 레거시 인증 시스템
  • 구형 운영 서버

비중이 높아 지속적인 취약점 관리가 매우 중요합니다.

2. 네트워크 분리 부족

웹 서버가 침해되었는데

  • 고객 DB
  • 결제 정보
  • 인증 시스템

까지 접근 가능했다는 점은 내부 분리 수준이 충분하지 않았을 가능성을 보여줍니다.

현대 보안에서는

  • 웹 서버
  • DB 서버
  • 인증 서버
  • 결제 서버

를 강하게 분리해야 합니다.

3. 침해 탐지 체계 부족

웹쉘은 일반 백신만으로 탐지가 어렵습니다.

따라서

  • EDR
  • XDR
  • SIEM
  • UEBA

기반 이상행위 탐지가 필요합니다.

예를 들어

  • 비정상 명령 실행
  • 야간 대량 조회
  • 관리자 권한 상승
  • 비정상 프로세스 생성

등을 탐지해야 합니다.

4. 반복되는 개인정보 사고

롯데카드는 과거 카드 3사 개인정보 유출 사건 이후 다시 대규모 사고가 발생했습니다.

이 때문에 금융당국은:

  • 반복 위반
  • 보안 관리 미흡
  • 내부 통제 부족

을 이유로 중징계를 결정했습니다.

이는 단순 기술 문제가 아니라 보안 거버넌스 자체의 문제라는 의미로 해석됩니다.

예방 방법

1. 패치 관리 자동화

가장 기본적이지만 가장 중요합니다.

특히:

  • 인터넷 노출 서버
  • VPN
  • WAS
  • 인증 시스템

은 긴급 패치 체계를 운영해야 합니다.

2. 웹쉘 탐지 체계 구축

웹쉘은 현대 공격에서 매우 흔합니다.

따라서

  • 파일 무결성 검사
  • 비정상 프로세스 탐지
  • 명령 실행 모니터링
  • 웹 로그 분석

등이 필요합니다.

3. Zero Trust 기반 접근 제어

웹 서버가 뚫렸다고 내부 DB까지 바로 접근 가능하면 안 됩니다.

  • 세분화된 권한 관리
  • 마이크로 세그멘테이션
  • 서비스 간 인증 강화

가 필요합니다.

4. 실시간 SOC 운영 강화

현대 보안의 핵심은 얼마나 빨리 발견하는가입니다.

따라서

  • 24시간 모니터링
  • 이상행위 탐지
  • 위협 인텔리전스 연동
  • 자동 차단 체계

가 중요합니다.

이 사건이 남긴 의미

롯데카드 사건은 단순한 해킹 사고가 아닙니다.

이 사건은

  • 오래된 취약점 방치
  • 레거시 시스템 위험
  • 금융권 탐지 체계 한계
  • 웹쉘 기반 장기 침투 위험성

을 모두 보여준 사례입니다.

특히 중요한 점은 공격 자체보다 탐지 실패가 더 치명적이었다는 것입니다.

만약 더 늦게 발견되었다면

  • 대규모 금융 사기
  • 카드 부정 사용
  • 추가 내부망 침투

등으로 이어졌을 가능성도 존재합니다.

결론

현대 보안은 더 이상 방화벽 설치, 백신 운영만으로 해결되지 않습니다.

공격자는 이미 정상 웹 요청처럼 침투하고 웹쉘로 장기간 숨어 있으며 내부망을 천천히 장악합니다.

따라서 기업은

  • 예방(Prevention)
  • 탐지(Detection)
  • 대응(Response)
  • 복구(Recovery)

를 모두 고려해야 합니다.

롯데카드 사건은 금융권 보안의 핵심이 단순 차단이 아니라 지속적인 모니터링과 빠른 대응이라는 사실을 다시 보여준 대표 사례로 남게 되었습니다.

Categories:

Updated: