2025.9.02 '960만 회원' 롯데카드 해킹

사건 개요

• 침해 사고 발생:
  • 2025년 8월 14~15일 사이 최초 해킹 발생 → 8월 26일 자체 점검 중 악성코드 탐지 → 8월 31일 외부 공격 흔적 발견 → 9월 1일 금융감독원에 신고.
  • 3개 서버에서 웹쉘 5종과 악성코드 2종 발견, 온라인 결제 서버에 자료 유출 시도 흔적 존재.
• 기존 보안 문제 이력:
  • 롯데카드는 2024년 8월, 전산자료 유출 방지 미흡 및 데이터 관리 부실로 인해 금감원으로부터 경영유의 및 개선조치 제재를 받은 이력이 있음.
  • 그 당시 문제로는 카드 결제 내역 타인 노출, 직원 PC의 부팅 암호 미설정, 전산원장 외부 위탁 관리, IT 아웃소싱 업체 평가 미실시 등이 있음.

---

피해 규모

• 자료 유출 가능성:
  • 약 1.7GB 규모의 파일이 외부로 반출된 정황, 온라인 결제 요청 내역 등 고객 정보 일부 포함 가능성 제기됨.
  • 금감원은 반출 실패 파일을 분석한 결과, 카드 정보 등 결제 관련 정보가 포함됐을 것으로 추정.
• 과거 문제 누적:
  • 2022년 기준 롯데카드의 IT 인력은 78명으로 카드사 중 최저 수준, 대부분 타사는 100~300명대.
  • 내부 보안 인프라 및 인력 부족으로 인해 기초적인 보안 시스템조차 취약했을 가능성 지적됨.

---

사고 원인

• 기술적 취약점:
  • 해킹은 Oracle WebLogic의 원격 코드 실행 취약점(CVE‑2017‑10271) 을 이용한 것으로 분석됨.
  • 해당 취약점은 2017년에 이미 패치가 배포된 것이며, 아직까지 적용되지 않았다는 것은 보안 업데이트 관리 실패를 의미.
• 관리적 취약점:
  • 부팅 암호 미설정, 전산원장 외부 직원에 의한 변경, 아웃소싱 계약의 평가절차 누락 등 총체적인 관리 소홀이 누적되어 있었음.
  • 금감원은 이번 사고가 예고된 인재(人災) 였을 가능성이 크다고 판단.
• 금융당국 입장:
  • 이찬진 금감원장은 “관리 소홀로 인한 사고는 엄정하게 제재하겠다”고 강조.
  • 피해 고객에게는 전액 보상 방침 유지, 현재 정밀 조사 및 후속 대응 중.

---

💬 의견

• 이미 1년 전 금감원의 보안 지적을 받았음에도 개선이 미흡했고,
• 8개 카드사 중 IT 인력이 가장 적은 현실은 보안 운영의 한계를 의미합니다.
• 패치되지 않은 8년 전 취약점을 이용당한 점은, 보안 리스크 관리를 등한시한 결과로 해석될 수 있습니다.

• 이번 사건은 단순한 외부 해킹을 넘어, 장기간 누적된 보안 인식 부재와 인프라 미비가 낳은 구조적 문제입니다.