롯데카드 해킹 피해 100배 왜?…고도화된 해킹 초동파악 한계

(서울=뉴스1) 신은빈 기자 = 회원 297만 명의 개인정보가 유출된 롯데카드의 해킹 데이터 규모가 신고 당시 보고된 수준의 약 100배인 200GB(기가바이트)에 육박하는 것으로 확인되자 피해 규모를 명확히 인지하지 못한 배경에 의문이 제기되고 있다.

금융당국과 보안 업계 전문가들은 현행법상 해킹 피해를 인지한 즉시 신고해야 하므로 초기에는 정확한 피해 규모를 파악하기 어렵다고 진단한다. 명확한 해킹 수법이 드러나지 않은 만큼 치밀한 공격으로 해킹임을 인지하지 못하게 혼동을 줬을 가능성도 나온다.

18일 금융감독원과 금융보안원 등의 현장 검사에 따르면 롯데카드에서 해킹 사고로 유출된 데이터는 약 200GB에 달한다. 롯데카드가 이달 1일 금감원에 보고했던 유출 데이터 1.7GB의 100배가 넘는 규모다.

롯데카드가 파악한 개인정보가 유출된 회원은 297만 명으로 전체 회원 960만 명의 3분의 1 수준이다. 유출 정보의 범위는 온라인 신규 등록 시 필요한 카드번호, 유효기간, 카드인증코드(CVC) 번호 등이다.

앞서 롯데카드는 데이터 침해 사고를 신고할 때 개인정보 유출이 확인되지 않았다고 발표했지만 뒤늦게 대규모 정보 유출을 인정했다.

금융위원회는 18일 긴급 대책회의를 열고 "8월 31일 해킹 사실을 확인했을 때는 개인정보 유출 여부를 확인하기 어려운 상황이었다"며 "이후 금융당국 조사 과정에서 개인정보 유출 정황을 발견했고 롯데카드에서 추가 확인을 진행한 결과 최종적으로 유출 사실을 확인했다"고 설명했다.

롯데카드의 해킹 피해 규모가 당초 신고된 수준에서 100배로 확대된 배경도 이와 유사할 것으로 보인다.

전문가들은 현행법상 데이터 침해를 인지한 즉시 신고해야 하므로 초기에는 피해 규모를 면밀히 파악하기 어렵고, 사내 시스템을 전수조사하려면 상당한 시간이 걸리기 때문에 시간이 지날수록 피해 규모가 커질 수밖에 없다고 분석한다.

김명주 고려대 정보보호대학원 교수는 "해킹 사고가 나면 우선 초동 수사하듯 확인한 뒤 신고하고, 이후 내부 시스템을 정밀하게 조사하는 과정에서 추가 피해가 확인된다"며 "모든 시스템을 조사하려면 며칠로는 부족하다"고 설명했다.

현행 정보통신망법상 침해 사고가 발생하면 회사는 사고 인지 후 24시간 이내 과학기술정보통신부 또는 한국인터넷진흥원(KISA)에 최초 신고해야 한다.

국내 보안 기업 관계자 역시 "해킹 사고 발생 시 피해 규모를 파악할 때는 침해된 정보, 공격 유입 경로, 침해 범위 등 전반을 조사해야 하므로 오랜 시간이 걸린다"며 "일각에서 제기되는 피해 규모 은폐 의혹은 단언할 수 없다"고 말했다.

현재 롯데카드의 해킹 사고 조사가 진행 중인 만큼 공격 수법이 드러나야 알 수 있다는 의견도 나온다.

금융당국 관계자는 "금융사의 개인정보 유출 피해가 발생하면 전자거래법령에 따라 신고부터 하고 조사를 통해 세부 사항을 확인하는 게 공식 절차"라며 "만약 공격자의 해킹 수법이 고도로 치밀하다면 롯데카드가 해킹 사실을 인지하지 못해 파악된 피해 규모의 차이가 발생할 가능성도 있다"고 말했다.

bean@news1.kr