'최고 보안' 인증 당일, 롯데카드 첫 해킹 시도…'보안 인증' 무용론

(서울=뉴스1) 전준우 기자 = 금융위원회가 관리·감독하는 비영리 사단법인인 금융보안원(FSI)이 롯데카드에 국내 최고 수준의 보안 인증을 수여한 당일, 롯데카드의 첫 해킹 시도가 이뤄진 것으로 드러나 '보안 인증' 무용론이 일고 있다.

19일 금융권에 따르면 금융보안원은 지난달 12일 롯데카드에 정보보호 및 개인정보보호 관리 체계(ISMS-P) 인증을 수여했다.

ISMS-P 인증은 갈수록 지능화되고 있는 사이버 침해 위협에 효과적으로 대응할 수 있는지, 기업의 정보보호 체계와 고객의 개인정보보호 관리체계가 적합하게 운영되는지를 심사하는 공인된 인증 제도다. 국내 최고 수준의 관리체계 인증으로 평가받는다.

인증범위는 정보서비스의 운영 및 보호에 필요한 조직, 물리적 위치, 정보자산, 개인정보 처리를 위한 수집·보유·이용·제공·파기에 관여하는 개인정보처리 시스템과 취급자를 포함한다.

롯데카드는 인증 취득에 필요한 평가 기준인 △관리체계 수립 및 운영 △보호 대책 요구사항 △개인정보 처리 단계별 요구사항 총 3개의 영역에서 101개 인증 기준에 대한 심사를 받고 이번 인증을 획득했다고 설명했다.

하지만 국내 최고 수준의 '보안 인증'이 무색하게 롯데카드의 해킹 시도는 당일 오전 3시 43분 최초로 이뤄졌다. 해킹 공격은 온라인 결제 서버를 통해 이뤄졌으며, 다음날인 지난달 13일 서버 내 악성코드(웹 셀)를 설치한 뒤 27일까지 약 200GB 규모의 정보를 유출했다.

롯데카드가 2017년 전체 서버 내 설치된 48개의 웹로직(Weblogic) 프로그램 중 1개의 보안패치가 누락됐는데, 해커는 이를 통해 침입에 성공한 것으로 파악됐다.

롯데카드는 ISMS-P 인증 뿐만 아니라 정보보호 분야에서 가장 권위 있는 국제표준 ISO 27001, 국제 카드사(마스터, 비자 등) 공동 데이터 보안 표준 PCI DSS 등 정보보호 및 개인정보 관리 관련 공인된 국내외 인증기관의 보안관리체계 인증을 취득·유지 중이다.

그럼에도 28만 명의 카드 비밀번호와 CVC 번호까지 유출되는 '역대급' 해킹 사고가 발생하며 보안 인증이 해킹 사고의 안전을 보장하지 못한다는 점이 드러났다.

금보원의 ISMS-P 심사 기준을 비롯해 대대적인 쇄신이 필요하다는 목소리도 나온다. 금보원은 금융위 주도로 만들어진 비영리 사단법인으로, 정부 부처와 업무를 수행하는 금융 보안 전문기관이다. 금융감독원 등과 함께 롯데카드 해킹 사고 조사에도 참여했다.

특히 금보원 스스로 ISMS-P 인증만으로 해킹 시도를 막을 수 없다는 무책임한 답변을 내놓으면서 논란을 더욱 자초했다는 지적이 나온다.

권기남 금융보안원 사이버대응본부장은 이날 브리핑에서 "ISMS-P 인증은 기업이 정보보호 업무를 할 준비가 됐다는 의미이지, 악성코드나 해킹에 완벽히 안심할 수 있다는 인증은 아니다"며 "정보보호관리 체계 인증을 받은 기업도 언제든지 해킹할 수 있다"고 말했다.

금융당국이 해킹 사고에 대응해 근본적인 제도개선을 예고한 가운데 보안 인증 심사 기준을 대폭 강화하고 화이트 해커 등 전문 인력을 대폭 보강해야 한다는 목소리도 나온다.

권대영 금융위 부위원장은 "IT 기술 발전 등으로 해킹 기술과 수법이 보다 치밀하고 교묘하게, 빠르게 진화하는 반면 금융권 대응은 이에 따라가지 못하는 측면이 있다"며 "보안투자를 불필요한 비용이나 부차적 업무로 여기는 안이한 자세가 금융권에 있지 않은지 냉철하게 돌아봐야 할 시점"이라고 말했다.

그러면서 "최근의 일련의 사태를 계기로 국민들이 금융회사를 신뢰할 수 있도록 보안실태에 대한 밀도있는 점검과 함께 재발방지를 위한 근본적 제도개선도 즉시 착수하겠다"고 밝혔다.

junoo5683@news1.kr