1. 유출 정보 및 규모
- 총 유출 인원: 297만 명
- 고위험 정보 유출 인원: 28만 명
- 유출 정보: 카드번호, 비밀번호 2자리, 유효기간, CVC, 주민등록번호, 생년월일, 전화번호 등 개인정보가 대거 포함됨.
2. C커머스를 통한 부정 사용 위험 (주요 문제점)
- C커머스의 '비인증 결제' 방식:
- 알리익스프레스, 테무, 쉬인 등 중국 전자상거래업체(C커머스)는 카드번호, 유효기간, CVC 정보만으로 별도의 본인 인증 없이 최종 결제가 가능한 비인증 방식 결제를 채택하고 있음.
- 최초 카드 등록 시에도 국내 법령상 본인 확인 방식이 아닌 이메일을 통한 추가 인증만 거치며, 사이트 계정 주인과 카드 소유자를 매칭하는 과정이 없음. (국내 가맹점은 ISP, 안심클릭 등 별도 본인인증 필수)
- 부정 사용 우려:
- 유출된 정보를 이용해 C커머스에서 타인이 부정 거래를 할 가능성에 무방비로 노출됨.
- 롯데카드 측은 PG사를 통한 본인인증으로 부정사용이 불가하다고 주장했으나, 기사 본지 확인 결과 테무에서 롯데카드로 신규 카드 등록 및 결제 시 추가 본인인증 절차가 없었음.
- 글로벌 결제사 인증 우회:
- 일부 해외 가맹점(특히 C커머스)의 경우 최종 검증 과정이 부족하여 비자/마스터카드 같은 글로벌 결제사의 인증 인프라 역시 사실상 우회하여 결제가 이뤄지고 있음.
3. 이상거래탐지시스템(FDS) 무력화 우려
- FDS의 한계: 통상 FDS는 미결제 계좌의 고액 결제 등 이상 행동을 감지하지만, 이번처럼 28만 명의 막대한 정보가 대규모로 유출된 경우 가능한 조합이 기하급수적으로 늘어나 FDS 감시망을 피해갈 수 있음.
- 소액 결제 문제: 해커가 등록된 정보를 이용해 여러 가맹점에서 1만 원 이하의 소액 결제 명령을 동시다발적으로 수행할 경우 FDS가 제대로 작동하기 어려움.
- 결과: 부정 사용이 발생한 '후'에 사후 조치를 할 수밖에 없는 구조가 될 가능성이 큼.
4. 사후 상황 및 규제 문제
- 부정 사용 사례: 롯데카드는 현재까지 부정사용 사례가 없다고 해명했으나, SNS 등에서는 부정사용 사례가 확인되고 있음.
- 해외 부정 사용 규제: 국내에 법인을 두지 않은 해외 부정 사용의 경우 현행 국내법상 사전 규제가 불가능함.
- 소비자 경각심: C커머스는 소액 결제와 환불이 잦아 소비자들이 해킹 사실 인지 및 부정 사용 감지에 대한 경각심이 부족할 수 있음.
'정보보안 > 사건사고' 카테고리의 다른 글
| 2025.9.24 질병관리청 국민건강영양조사 및 희귀질환 환자 정보 유출 (1) | 2025.10.08 |
|---|---|
| 한국연구재단 보안 예산 59억 투입에도 연구자 12만명 개인정보 유출 (0) | 2025.10.08 |
| 2025.9.23 국내 자산운용사 19곳 동시 해킹: 2.5조 원대 자산 고객 정보 유출 비상 (0) | 2025.10.08 |
| 2025.9.23 산업부 공모전 해킹 42일 동안 몰랐다! 공공기관 보안 구멍 심각성 분석 (0) | 2025.10.08 |
| 유출 정보, '피싱' 악용 - 롯데카드 정보유출 2차 피해 확산 (0) | 2025.10.08 |