분트 [점선면] 롯데카드·KT 해킹 사태, ‘예고된 인재’라고?
페이지 정보
작성자 황준영 작성일25-09-23 09:13 조회1회 댓글0건관련링크
본문
분트 대한민국에서 ‘해킹 포비아’가 확산하고 있습니다. 지난 18일 회원 960만명을 보유한 롯데카드에서 전체 고객의 30%(297만명)의 개인정보가 유출되는 사건이 발생했는데요. 지난 19일 KT도 서버가 해킹됐다고 밝힌 겁니다. 앞서 SK텔레콤과 인터넷서점 예스24에서도 해킹 사고가 발생했는데요. 오늘 ‘에디터픽’에서는 롯데카드와 KT에서는 어쩌다 해킹 사고가 발생한 건지, 어떤 대책이 필요한지를 짚어볼게요.
먼저 지난 18일 발생한 롯데카드 해킹 사고에 대해서 살펴보겠습니다. 금융위원회에 따르면, 신원미상의 해커가 롯데카드의 온라인 결제서버(WAS)에 침입하고 악성 프로그램을 설치해 총 200GB(기가바이트)의 정보를 유출했다고 합니다.
이 200GB의 정보에는 롯데카드 전체 고객(967만명)의 30%에 해당하는 297만명의 개인정보가 포함돼 있었다고 해요. 이 중 28만명은 카드 비밀번호, CVC 등이 유출됐어요. 이 정보는 단말기에 카드를 꽂거나 긁는 방식이 아니라 정보를 입력해 결제하는 키인(key-in) 방식 거래로 부정 사용될 가능성이 있어요. 다만 현재까지는 부정사용 사례는 확인되지 않았다고 해요.
조좌진 롯데카드 대표이사는 지난 18일 기자회견을 열고 이번 사고로 발생한 피해는 롯데카드가 책임을 지고 전액을 보상할 것이라며 사과했습니다. 롯데카드는 같은 날 피해 고객 297만명 전원에게 정보 유출 안내 메시지를 발송하고, 부정 사용에 노출될 가능성이 있는 28만명에겐 카드 재발급을 안내했다고 해요. 개인정보 유출 여부는 롯데카드 홈페이지의 ‘개인신용정보 유출 여부 확인’ 공지에서도 확인할 수 있다고 합니다.
KT에서도 서버가 뚫린 정황이 확인됐습니다. KT는 지난 19일 ‘한국인터넷진흥원(KISA)에 서버 침해 정황을 전날 신고했다’고 밝혔어요. 외부 보안 전문 기업에 의뢰해 4개월간 전사 서버 조사를 진행한 결과, 서버 침해 흔적 4건과 의심 정황 2건을 확인했다는 겁니다. 하지만 어떤 정보를 담고 있는 서버인지, 실제 데이터 유출이 발생했는지, 소액결제 사건과 연관이 있는지 등은 아직 확인되지 않았다고 해요.
KT에서는 서버 해킹 사고에 앞서 ‘무단 소액 결제 사건’이 발생했는데요. 중국의 범죄 조직이 ‘가짜 기지국’ 장비를 활용해 KT 가입자 정보를 가로채 불법으로 소액 결제를 한 사건입니다. KT의 자체 조사에 따르면, 피해자는 362명에 이르고 피해액은 2억4000만원에 달한다고 하는데요.
‘워 드라이빙’이라고 하는 신종수법이 등장해 충격을 주었어요. 지난 18일 이 사건에 연루된 2명의 중국 국적 피의자가 구속됐습니다. 이들은 지난달 말부터 이달 초까지 ‘펨토셀’이라는 장비를 승합차에 싣고 다니면서 통신망에 침투하는 기상천외한 해킹 수법을 썼습니다. 이들은 경찰 조사에서 윗선의 지시에 따라 범행했다고 진술했다고 분트 해요. 펨토셀은 와이파이 공유기처럼 생겼는데요. 집이나 사무실에서 휴대전화 신호를 잘 잡히게 해주는 초소형 기지국입니다.
이뿐만이 아닙니다. 올해 들어 대규모 해킹 사고가 끊이질 않고 있어요. 지난 4월에는 SKT 서버가 공격받고 총 3696만건의 고객 유심 정보가 유출되는 최악의 해킹 사고가 벌어졌습니다. 국내 최대 인터넷 서점 예스24에서는 지난 6월과 8월 두 차례나 랜섬웨어 공격을 받으면서 전면서비스가 중단된 일이 있었습니다.
IT 강국이라는 대한민국에서 이처럼 해킹 이슈가 연달아 터지는 이유가 무엇일까요. 기업들이 수익에만 신경 쓰고, 보안에는 돈을 너무 아꼈다는 지적이 나옵니다. 롯데카드의 대주주는 MBK파트너스입니다. MBK파트너스는 우리은행과 컨소시엄을 구성해 2019년 롯데카드를 1조3810억원에 사들였는데요. 사모펀드 운용사들은 기업을 싼값에 사들이고 나중에 비싼값에 되팔아 이익을 남깁니다. MBK파트너스가 수익성에만 집중하다 보니 반드시 지출해야 할 보안 비용을 줄인 정황도 드러났는데요. 롯데카드의 지난해 지속가능경영보고서에 따르면, 전체 IT 예산에서 정보 보호 투자의 비중이 2021년 12%에서 2023년 8%로 감소했습니다.
실제로 과학기술정보통신부와 한국정보보호산업협회가 발표한 ‘2024 정보보호 실태조사’에 따르면 기업 절반 가까이는 보안 예산이 전혀 없었습니다. 있다 하더라도 500만원 미만이 75.8%인 것으로 나타났습니다. 1억원 이상을 투자하는 곳은 0.6%에 불과했고요. 기업당 평균 보안 인력은 1.1명 수준이었는데, 대부분 내부 인력이었습니다. 기업의 해킹 대응 체계도 심각한 수준입니다. 해킹 사고를 경험한 기업 중 절반 이상(67%)이 별다른 대응을 하지 않은 것으로 나타났어요. 해킹 사고를 당하고도 신고하지 않은 비율은 80.4%에 달했습니다.
정부는 잇따른 해킹 사태를 계기로 보안 체계를 원점에서 점검하기로 했습니다. 과기부와 금융위는 지난 19일 정부서울청사에서 합동브리핑을 열고 국가안보실을 중심으로 국가정보원, 개인정보보호위원회 등 관계기관과 범부처 협의체를 가동해 근본 대책을 마련하겠다고 밝혔는데요. 기업이 침해 사실을 은폐하거나 늦게 신고하면 과태료를 강화하고, 정부가 직접 정황을 확인하면 직접 조사할 수 있도록 제도를 개선하겠다고 밝혔습니다.
또한 그동안 많은 기업이 보안을 비용으로만 인식해 최고정보보호책임자(CISO)가 독립적으로 보고하지도 못했는데, 이제는 CISO가 최고경영자(CEO)에게 직접 보고하는 체계를 제도화한다고 밝혔어요. 제재도 강화됩니다. 대규모 사고가 발생하면 최대 200억원까지 징벌적 과징금도 부과됩니다. 정부의 보안 개선 요구를 이행하지 않으면 이행강제금도 부과됩니다.
롯데카드에서 2014년에도 대규모 해킹 사고가 발생했었다는 사실, 알고 계신가요? 당시 롯데카드를 비롯해 KB국민카드, NH농협카드 등 3개 카드사에서 1억580만건의 개인정보가 빠져나갔습니다. 유출된 정보는 주민등록번호, 카드번호, 결제 내역, 신용등급, 연소득, 결혼 여부, 자가용 보유 유무 등 최대 19개의 민감 데이터였어요. 대한민국 경제활동 인구 75%의 정보가 털린 것으로 추산되는데, 당시 현직이던 박근혜 전 대통령의 개인정보도 빠져나갔다고 합니다. 한국 역대 최대 규모의 개인정보 유출 사건으로 꼽힙니다.
당시에도 롯데카드는 보안 대책 강화를 약속하며 고개를 숙였는데요. 2025년 또다시 같은 일이 반복된 겁니다. 언제까지 소비자들은 소 잃고 외양간 고치는 뒷북 사과를 봐야 할까요. 정부가 한국 기업이 보안에 돈을 쓸 수 있도록 강제하는 방법이 최선입니다.예를 들어 기업이 예산의 5~10%를 ‘보안 예산’으로 편성하도록 법으로 강제하는 등 정부가 적극적으로 나서지 않는다면 기업들의 ‘해킹 불감증’은 사라지지 않을 겁니다.
하나를 보더라도 입체적으로 경향신문 뉴스레터 <점선면>의 슬로건입니다. 독자들이 생각해볼 만한 이슈를 점(사실), 선(맥락), 면(관점)으로 분석해 입체적으로 보여드립니다. 매일(월~금) 오전 7시 하루 10분 <점선면>을 읽으면서 ‘생각의 근육’을 키워보세요.
<점선면>의 다른 뉴스레터가 궁금하시다면 구독을 눌러주세요! ▶
베냐민 네타냐후 이스라엘 총리는 요르단강 서안에 팔레스타인 국가는 존재하지 않을 것이라고 밝혔다.
이스라엘 총리실에 따르면 네타냐후 총리는 21일(현지시간) 영상 성명에서 캐나다, 호주, 영국 등 서방 3개국이 팔레스타인을 주권국가로 승인한 것을 두고 팔레스타인을 인정하는 지도자들은 테러에 막대한 보상을 주는 것이라며 이같이 말했다.
네타냐후 총리는 나는 지난 몇 년간 나라 안팎의 엄청난 압력에도 불구하고 이 테러국가의 수립을 막아왔다며 그런 일은 없을 것이라고 말했다.
이어 우리는 ‘유대와 사마리아’(요르단강 서안의 이스라엘식 표현)의 유대인 정착촌을 두 배로 늘렸고, 앞으로도 계속 확장하겠다며 나는 미국에서 돌아와 우리나라 심장부에 테러 국가를 세우려는 시도에 대한 대응을 발표하겠다고 덧붙였다.
팔레스타인 무장정파 하마스는 성명에서 이번 인정은 팔레스타인 인민의 땅과 성지에 대한 권리를 보장하고 예루살렘을 수도로 하는 독립국가를 수립하는 데에 중요한 진전이라며 환영의 뜻을 밝혔다. 하마스는 가자지구에서 벌어지는 잔혹한 집단학살을 즉각 중단하고, 요르단강 서안과 예루살렘에 대한 (이스라엘의) 합병과 ‘유대화’ 계획에 맞서는 실질적인 조치가 뒤따라야 할 것이라고 했다.
이날 캐나다, 호주, 영국이 차례로 팔레스타인 국가 승인을 선언하면서 193개 유엔 회원국 중 팔레스타인을 국가로 공식 인정하는 나라가 147개국에서 150개국으로 늘었다.
주요 7개국(G7) 국가 중 관련 선언을 한 것은 이날 캐나다, 영국이 처음이다. 22일에는 G7 국가 중 프랑스도 팔레스타인 국가 승인을 공식 발표할 예정이다. 미국 뉴욕에서 열리는 유엔총회 기간 몰타, 룩셈부르크, 벨기에, 포르투갈 등도 동참할 것으로 전망된다.
먼저 지난 18일 발생한 롯데카드 해킹 사고에 대해서 살펴보겠습니다. 금융위원회에 따르면, 신원미상의 해커가 롯데카드의 온라인 결제서버(WAS)에 침입하고 악성 프로그램을 설치해 총 200GB(기가바이트)의 정보를 유출했다고 합니다.
이 200GB의 정보에는 롯데카드 전체 고객(967만명)의 30%에 해당하는 297만명의 개인정보가 포함돼 있었다고 해요. 이 중 28만명은 카드 비밀번호, CVC 등이 유출됐어요. 이 정보는 단말기에 카드를 꽂거나 긁는 방식이 아니라 정보를 입력해 결제하는 키인(key-in) 방식 거래로 부정 사용될 가능성이 있어요. 다만 현재까지는 부정사용 사례는 확인되지 않았다고 해요.
조좌진 롯데카드 대표이사는 지난 18일 기자회견을 열고 이번 사고로 발생한 피해는 롯데카드가 책임을 지고 전액을 보상할 것이라며 사과했습니다. 롯데카드는 같은 날 피해 고객 297만명 전원에게 정보 유출 안내 메시지를 발송하고, 부정 사용에 노출될 가능성이 있는 28만명에겐 카드 재발급을 안내했다고 해요. 개인정보 유출 여부는 롯데카드 홈페이지의 ‘개인신용정보 유출 여부 확인’ 공지에서도 확인할 수 있다고 합니다.
KT에서도 서버가 뚫린 정황이 확인됐습니다. KT는 지난 19일 ‘한국인터넷진흥원(KISA)에 서버 침해 정황을 전날 신고했다’고 밝혔어요. 외부 보안 전문 기업에 의뢰해 4개월간 전사 서버 조사를 진행한 결과, 서버 침해 흔적 4건과 의심 정황 2건을 확인했다는 겁니다. 하지만 어떤 정보를 담고 있는 서버인지, 실제 데이터 유출이 발생했는지, 소액결제 사건과 연관이 있는지 등은 아직 확인되지 않았다고 해요.
KT에서는 서버 해킹 사고에 앞서 ‘무단 소액 결제 사건’이 발생했는데요. 중국의 범죄 조직이 ‘가짜 기지국’ 장비를 활용해 KT 가입자 정보를 가로채 불법으로 소액 결제를 한 사건입니다. KT의 자체 조사에 따르면, 피해자는 362명에 이르고 피해액은 2억4000만원에 달한다고 하는데요.
‘워 드라이빙’이라고 하는 신종수법이 등장해 충격을 주었어요. 지난 18일 이 사건에 연루된 2명의 중국 국적 피의자가 구속됐습니다. 이들은 지난달 말부터 이달 초까지 ‘펨토셀’이라는 장비를 승합차에 싣고 다니면서 통신망에 침투하는 기상천외한 해킹 수법을 썼습니다. 이들은 경찰 조사에서 윗선의 지시에 따라 범행했다고 진술했다고 분트 해요. 펨토셀은 와이파이 공유기처럼 생겼는데요. 집이나 사무실에서 휴대전화 신호를 잘 잡히게 해주는 초소형 기지국입니다.
이뿐만이 아닙니다. 올해 들어 대규모 해킹 사고가 끊이질 않고 있어요. 지난 4월에는 SKT 서버가 공격받고 총 3696만건의 고객 유심 정보가 유출되는 최악의 해킹 사고가 벌어졌습니다. 국내 최대 인터넷 서점 예스24에서는 지난 6월과 8월 두 차례나 랜섬웨어 공격을 받으면서 전면서비스가 중단된 일이 있었습니다.
IT 강국이라는 대한민국에서 이처럼 해킹 이슈가 연달아 터지는 이유가 무엇일까요. 기업들이 수익에만 신경 쓰고, 보안에는 돈을 너무 아꼈다는 지적이 나옵니다. 롯데카드의 대주주는 MBK파트너스입니다. MBK파트너스는 우리은행과 컨소시엄을 구성해 2019년 롯데카드를 1조3810억원에 사들였는데요. 사모펀드 운용사들은 기업을 싼값에 사들이고 나중에 비싼값에 되팔아 이익을 남깁니다. MBK파트너스가 수익성에만 집중하다 보니 반드시 지출해야 할 보안 비용을 줄인 정황도 드러났는데요. 롯데카드의 지난해 지속가능경영보고서에 따르면, 전체 IT 예산에서 정보 보호 투자의 비중이 2021년 12%에서 2023년 8%로 감소했습니다.
실제로 과학기술정보통신부와 한국정보보호산업협회가 발표한 ‘2024 정보보호 실태조사’에 따르면 기업 절반 가까이는 보안 예산이 전혀 없었습니다. 있다 하더라도 500만원 미만이 75.8%인 것으로 나타났습니다. 1억원 이상을 투자하는 곳은 0.6%에 불과했고요. 기업당 평균 보안 인력은 1.1명 수준이었는데, 대부분 내부 인력이었습니다. 기업의 해킹 대응 체계도 심각한 수준입니다. 해킹 사고를 경험한 기업 중 절반 이상(67%)이 별다른 대응을 하지 않은 것으로 나타났어요. 해킹 사고를 당하고도 신고하지 않은 비율은 80.4%에 달했습니다.
정부는 잇따른 해킹 사태를 계기로 보안 체계를 원점에서 점검하기로 했습니다. 과기부와 금융위는 지난 19일 정부서울청사에서 합동브리핑을 열고 국가안보실을 중심으로 국가정보원, 개인정보보호위원회 등 관계기관과 범부처 협의체를 가동해 근본 대책을 마련하겠다고 밝혔는데요. 기업이 침해 사실을 은폐하거나 늦게 신고하면 과태료를 강화하고, 정부가 직접 정황을 확인하면 직접 조사할 수 있도록 제도를 개선하겠다고 밝혔습니다.
또한 그동안 많은 기업이 보안을 비용으로만 인식해 최고정보보호책임자(CISO)가 독립적으로 보고하지도 못했는데, 이제는 CISO가 최고경영자(CEO)에게 직접 보고하는 체계를 제도화한다고 밝혔어요. 제재도 강화됩니다. 대규모 사고가 발생하면 최대 200억원까지 징벌적 과징금도 부과됩니다. 정부의 보안 개선 요구를 이행하지 않으면 이행강제금도 부과됩니다.
롯데카드에서 2014년에도 대규모 해킹 사고가 발생했었다는 사실, 알고 계신가요? 당시 롯데카드를 비롯해 KB국민카드, NH농협카드 등 3개 카드사에서 1억580만건의 개인정보가 빠져나갔습니다. 유출된 정보는 주민등록번호, 카드번호, 결제 내역, 신용등급, 연소득, 결혼 여부, 자가용 보유 유무 등 최대 19개의 민감 데이터였어요. 대한민국 경제활동 인구 75%의 정보가 털린 것으로 추산되는데, 당시 현직이던 박근혜 전 대통령의 개인정보도 빠져나갔다고 합니다. 한국 역대 최대 규모의 개인정보 유출 사건으로 꼽힙니다.
당시에도 롯데카드는 보안 대책 강화를 약속하며 고개를 숙였는데요. 2025년 또다시 같은 일이 반복된 겁니다. 언제까지 소비자들은 소 잃고 외양간 고치는 뒷북 사과를 봐야 할까요. 정부가 한국 기업이 보안에 돈을 쓸 수 있도록 강제하는 방법이 최선입니다.예를 들어 기업이 예산의 5~10%를 ‘보안 예산’으로 편성하도록 법으로 강제하는 등 정부가 적극적으로 나서지 않는다면 기업들의 ‘해킹 불감증’은 사라지지 않을 겁니다.
하나를 보더라도 입체적으로 경향신문 뉴스레터 <점선면>의 슬로건입니다. 독자들이 생각해볼 만한 이슈를 점(사실), 선(맥락), 면(관점)으로 분석해 입체적으로 보여드립니다. 매일(월~금) 오전 7시 하루 10분 <점선면>을 읽으면서 ‘생각의 근육’을 키워보세요.
<점선면>의 다른 뉴스레터가 궁금하시다면 구독을 눌러주세요! ▶
베냐민 네타냐후 이스라엘 총리는 요르단강 서안에 팔레스타인 국가는 존재하지 않을 것이라고 밝혔다.
이스라엘 총리실에 따르면 네타냐후 총리는 21일(현지시간) 영상 성명에서 캐나다, 호주, 영국 등 서방 3개국이 팔레스타인을 주권국가로 승인한 것을 두고 팔레스타인을 인정하는 지도자들은 테러에 막대한 보상을 주는 것이라며 이같이 말했다.
네타냐후 총리는 나는 지난 몇 년간 나라 안팎의 엄청난 압력에도 불구하고 이 테러국가의 수립을 막아왔다며 그런 일은 없을 것이라고 말했다.
이어 우리는 ‘유대와 사마리아’(요르단강 서안의 이스라엘식 표현)의 유대인 정착촌을 두 배로 늘렸고, 앞으로도 계속 확장하겠다며 나는 미국에서 돌아와 우리나라 심장부에 테러 국가를 세우려는 시도에 대한 대응을 발표하겠다고 덧붙였다.
팔레스타인 무장정파 하마스는 성명에서 이번 인정은 팔레스타인 인민의 땅과 성지에 대한 권리를 보장하고 예루살렘을 수도로 하는 독립국가를 수립하는 데에 중요한 진전이라며 환영의 뜻을 밝혔다. 하마스는 가자지구에서 벌어지는 잔혹한 집단학살을 즉각 중단하고, 요르단강 서안과 예루살렘에 대한 (이스라엘의) 합병과 ‘유대화’ 계획에 맞서는 실질적인 조치가 뒤따라야 할 것이라고 했다.
이날 캐나다, 호주, 영국이 차례로 팔레스타인 국가 승인을 선언하면서 193개 유엔 회원국 중 팔레스타인을 국가로 공식 인정하는 나라가 147개국에서 150개국으로 늘었다.
주요 7개국(G7) 국가 중 관련 선언을 한 것은 이날 캐나다, 영국이 처음이다. 22일에는 G7 국가 중 프랑스도 팔레스타인 국가 승인을 공식 발표할 예정이다. 미국 뉴욕에서 열리는 유엔총회 기간 몰타, 룩셈부르크, 벨기에, 포르투갈 등도 동참할 것으로 전망된다.
댓글목록
등록된 댓글이 없습니다.