[단독] 롯데카드 온라인 결제 시스템 해킹 시도 포착…웹쉘 업로드 통한 내부자료 1.7GB 유출 정황

오라클 웹로직 CVE-2017-10271 취약점 악용해 악성코드 감염시킨 뒤 웹쉘 업로드...취약점 대응 역량 키워야

롯데카드 내부 서버 해킹 시도가 실제 데이터 유출로 이어진 정황이 확인됐다. 이번 공격은 단순한 침투 시도를 넘어, 온라인 결제 시스템을 겨냥해 악성코드를 심고 내부 자료를 탈취하는 수준으로 진행된 것으로 알려졌다.

롯데카드는 지난 8월 26일 내부 서버 침해 정황을 포착한 뒤 9월 1일 금융감독원에 관련 사실을 신고했다. 자체 조사 결과, 공격자는 Oracle WebLogic(오라클 웹로직)의 CVE-2017-10271 취약점을 악용해 악성코드를 감염시킨 뒤 웹쉘을 업로드했다. 이를 통해 내부 결제 시스템 자료 약 1.7GB가 외부로 유출된 것으로 파악됐다. 현재 그룹사 전반에 대한 탐지 내역과 유사 패턴 여부를 확인하는 조사가 진행 중이다.

롯데카드는 이번 사고가 랜섬웨어와 같은 직접적 서비스 마비 공격은 아니지만, 온라인 결제 핵심 시스템을 노린 침해였다는 점에서 사안의 심각성이 크다고 보고 있다. 금융감독원과 금융보안원은 9월 2일부터 합동 조사에 착수해 피해 범위와 침해 경위를 규명할 예정이다.

■ISMS-P 획득 이후 발생한 보안 침해 사고

롯데카드는 지난 8월 12일 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득하며 보안 강화 노력을 이어온 기업이다. 그러나 불과 2주 만에 온라인 결제 시스템에서 취약점이 악용된 사건이 발생하면서 업계 전반의 보안 체계가 여전히 근본적인 위협에 직면해 있음을 보여준다. 전문가들은 카드사 내부 서버가 고객 개인정보와 금융 데이터를 집약하고 있어 해커들의 주요 공격 표적이 될 수밖에 없다고 지적한다.

이번 사고는 업계에 큰 충격을 남긴 2014년 카드 3사 개인정보 대규모 유출 사건을 다시 떠올리게 한다. 당시 외주 직원이 약 1억 건의 개인정보를 무단 반출해 사회적 파장이 컸으며, CEO 사퇴, 대규모 과징금, 강화된 정보보호 규제 도입으로 이어졌다. 그 후 금융권은 ISMS-P 의무화, 외주 관리 강화, 내부 보안 감시 체계 확립 등 제도적 장치를 마련했지만, 이번 사건은 여전히 취약점 기반 공격이 현실화될 수 있음을 보여준다.

또한 이번 롯데카드 사건은 지난 7월 발생한 SK텔레콤의 대규모 개인정보 유출 사고와 맞물려 금융·통신 전반의 보안 위기를 드러내고 있다. SK텔레콤은 약 2,300만 명의 개인정보가 유출돼 개인정보보호위원회로부터 1,347억 원의 과징금과 과태료를 부과받았다. 조사에서는 방화벽 설정 미흡, 계정 관리 부실, 암호화 미실시, 악성코드 탐지 실패 등 기본적인 보안 관리 소홀 문제가 드러났다.

■“국가 차원 통합 보안 전략 필요”

보안 전문가들은 금융과 통신이 별개의 산업이 아니라 상호 밀접히 연결돼 있어, 한쪽에서 발생한 사고가 다른 영역으로 확산될 수 있다고 경고한다. 한 전문가는 “금융 데이터와 통신망은 긴밀히 맞물려 있어 사고 발생 시 파급력이 크다”며 “금융보안원, 개인정보보호위원회, 한국인터넷진흥원(KISA) 등 관계 기관 간 공조를 강화하고 국가 차원의 통합 보안 전략을 마련해야 한다”고 강조했다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명