방화벽 뚫리고도 17일간 몰랐다…롯데카드 '해킹 사고'의 재구성

(서울=뉴스1) 김도엽 윤주영 기자 = 960만 명 회원을 보유한 롯데카드가 해킹 사실을 무려 17일이 지나서야 인지한 것으로 드러나 논란이 커지고 있다. 해킹 공격엔 좀비PC를 만드는 '웹셀' 공격이 활용됐는데, 롯데카드 측은 서버 동기화 과정에서 간접적으로 해킹 사실을 인지한 것으로 드러났다.

2일 금융당국 및 국회에 따르면 롯데카드 해킹에 따른 첫 내부 파일 유출 시점은 지난달 14일 오후 7시 21분이다.

파일 유출 시도는 16일까지 3일간 이뤄졌다. 이 과정에서 14~15일 2회에 걸쳐 내부 파일이 유출됐으며, 16일에는 해커들이 파일 유출을 시도했지만 반출에 실패한 것으로 확인됐다.

해킹 사태에 사용된 공격 수법은 '웹셀'로 파악됐다. 웹셸은 asp, cgi, php, jsp 등 서버 명령 스크립트를 통해 만들 수 있는 작은 악성코드 조각이다. 웹셸을 통해 만들어진 침투 경로는 보안 시스템도 우회해, 공격자는 별도 인증 절차 없이 시스템에 손쉽게 접속할 수 있다.

이후 공격자는 웹 서버에서 명령을 실행해 관리자 권한을 획득한다. 이 경우 웹페이지 소스 코드 열람은 물론 서버 내 자료 유출, 백도어 프로그램 설치까지 할 수 있게 된다.

현재까지 파악된 내용을 종합하면 14~16일 사이 내부자료 유출 시도가 있었으나, 최초 감염 시점은 밝혀내지 못했다.

보안업계 관계자는 "랜섬웨어 공격에서도 웹셸 업로드가 침투 경로로 많이 쓰인다"며 "이를 통해 서버의 정상적인 서비스가 방해받을 수 있다. 개인정보 유출, 인접한 타 시스템 공격 등도 우려된다"고 설명했다.

웹셸 공격은 기본적으로 파일 업로드인 만큼, 롯데카드는 웹 방화벽 등을 통해 업로드되는 파일을 제어해야 한다. 업로드된 파일이 실행 권한을 가지지 못하도록 환경을 설정해야 하지만 실패했으며, 현재까지 어떤 경로로 유입됐는지 파악하지 못한 상태다.

12일째 파일 유출 사실을 인지하지 못한 롯데카드는 2주가 지난, 지난달 26일 '서버 동기화' 과정에서 간접적으로 웹셀 공격을 인지했다. 이후 전 서버에 대한 정밀조사를 실시했고, 5일이 지난 지난달 31일 낮 12시가 돼서야 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도했던 흔적을 발견했다.

지난달 26일 곧바로 금감원에 보고하지 않은 이유에 대한 의문이 제기된다.

이에 대해 롯데카드 측은 악성코드 감염만으로는 보고 의무가 발생하지 않는 '일반적인 침해'며, 시스템 장애 등 실질적인 피해가 발생할 시 보고 의무가 발생한다고 설명했다. 지난 1일 금감원에 이런 사고 사실을 보고한 배경이다.

한편 롯데카드는 지난달 12일 금융보안원으로부터 국내 최고 수준의 관리체계 인증으로 평가받는 '정보보호 및 개인정보보호 관리체계(ISMS-P) 인증'을 획득했다고 밝힌 바 있다. 그럼에도 해킹 사고가 발생해 해명이 무색해졌다.

관건은 유출 자료 중 '고객 정보'가 있는지다. 개인정보가 유출됐을 경우 개인정보보호법 제34조등에 따라 지체 없이 정보주체에게 유출 사실을 알려야 한다.

금감원이 현재까지 파악한 내용에 따르면 유출된 데이터의 양은 약 1.7기가바이트(GB) 정도며, 고객 정보가 유출됐을 가능성은 높다.

금감원이 강민국 국민의힘 의원실에 제출한 자료에 따르면 "반출된 파일에 포함돼 있는 정보의 구체적 내용은 파악 중이지만 반출 실패한 파일을 바탕으로 추정할 때, '카드 정보 등 온라인 결제 요청 내역'이 포함된 것으로 보인다"고 밝혔다.

또 롯데카드 측이 제출한 '향후 대책' 내용에 △백신 추가 설치 △악성코드 진단 등 조치 외에도, '유출 가능 고객 정보 확인 후 해당 고객에게 카드 비밀번호 변경 등 안내 예정'이라고 보고한 것 또한 유출 가능성을 높게 보는 배경이다.

롯데카드 측은 외부 조사업체를 통해 정밀 조사를 진행했으나, 현재까진 고객 정보 등 주요 정보의 외부 유출이나 랜섬웨어와 같은 심각한 악성코드 감염은 확인되지 않았다고 밝혔다.

롯데카드 측은 전날 홈페이지를 통해 안내문을 내고 "온라인 결제 시스템에서 외부 해커의 침투 흔적이 발견돼 조사 중이며, 현재까지 조사된 바에 의하면 개인 정보 유출 사실은 확인되지 않았다'고 밝혔다.

이어 "현재 외부 조사기관과 추가 조사 중이며, 결과가 나오는 즉시 상세 내용을 회원들께 안내드리겠다"며 "피해 예방을 위해 최선의 지원을 다하겠다"고 덧붙였다.

금감원은 관리 소홀로 인한 금융 보안 사고에 대해 엄정하게 제재할 것이라며 압박 수위를 높였다. 혹시 모를 부정 사용 발생 시 피해액 전액을 보상하는 절차를 마련해 금융소비자의 피해가 없도록 조치하라고도 했다.

특히 금감원은 이날 이찬진 원장이 임원회의에서 "롯데카드 해킹 사고로 금융시장에 대한 소비자의 불안·불신이 증폭될 수 있다"며 "소비자 피해 예방을 최우선으로 하고, 전자금융거래가 보다 안정적으로 이루어지도록 신속하고 면밀한 대응에 힘쓰라"고 지시한 발언을 이례적으로 공개했다.

또 소비자 피해 최소화를 위해 회사 내에 전용 콜센터를 운영하고 이상 금융거래 모니터링을 강화하는 한편, 혹시 모를 부정 사용 발생 시 피해액 전액을 보상하는 절차를 마련해 금융소비자의 피해가 없도록 조치하라고 강조했다.

아울러 CEO 책임하에 소비자 보호 관점에서 자체 금융 보안 관리체계를 전면 재점검할 것을 당부하며 "관리 소홀로 인한 금융 보안 사고에 대해서는 엄정하게 제재할 것"이라고 당부했다.

금감원은 이날 오전부터 금융보안원과 함께 롯데카드에 대한 현장검사에 착수한 상태다.

doyeop@news1.kr