조좌진 롯데카드 대표이사 등 관계자들이 지난 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 하고 있다. 성동훈 기자
대한민국에서 ‘해킹 포비아’가 확산하고 있습니다. 지난 18일 회원 960만명을 보유한 롯데카드에서 전체 고객의 30%(297만명)의 개인정보가 유출되는 사건이 발생했는데요. 지난 19일 KT도 서버가 해킹됐다고 밝힌 겁니다. 앞서 SK텔레콤과 인터넷서점 예스24에서도 해킹 사고가 발생했는데요. 오늘 ‘에디터픽’에서는 롯데카드와 KT에서는 어쩌다 해킹 사고가 발생한 건지, 어떤 대책이 필요한지를 짚어볼게요.
롯데카드서 297만명 정보 털렸다
먼저 지난 18일 발생한 롯데카드 해킹 사고에 대해서 살펴보겠습니다. 금융위원회에 따르면, 신원미상의 해커가 롯데카드의 온라인 결제서버(WAS)에 침입하고 악성 프로그램을 설치해 총 200GB(기가바이트)의 정보를 유출했다고 합니다.
이 200GB의 정보에는 롯데카드 전체 고객(967만명)의 30%에 해당하는 297만명의 개인정보가 포함돼 있었다고 해요. 이 중 28만명은 카드 비밀번호, CVC 등이 유출됐어요. 이 정보는 단말기에 카드를 꽂거나 긁는 방식이 아니라 정보를 입력해 결제하는 키인(key-in) 방식 거래로 부정 사용될 가능성이 있어요. 다만 현재까지는 부정사용 사례는 확인되지 않았다고 해요.
조좌진 롯데카드 대표이사는 지난 18일 기자회견을 열고 “이번 사고로 발생한 피해는 롯데카드가 책임을 지고 전액을 보상할 것”이라며 사과했습니다. 롯데카드는 같은 날 피해 고객 297만명 전원에게 정보 유출 안내 메시지를 발송하고, 부정 사용에 노출될 가능성이 있는 28만명에겐 카드 재발급을 안내했다고 해요. 개인정보 유출 여부는 롯데카드 홈페이지의 ‘개인신용정보 유출 여부 확인’ 공지에서도 확인할 수 있다고 합니다.
서울 중구 부영태평빌딩 롯데카드. 성동훈 기자
신종 해킹 수법 ‘워 드라이빙’까지 등장
KT에서도 서버가 뚫린 정황이 확인됐습니다. KT는 지난 19일 ‘한국인터넷진흥원(KISA)에 서버 침해 정황을 전날 신고했다’고 밝혔어요. 외부 보안 전문 기업에 의뢰해 4개월간 전사 서버 조사를 진행한 결과, 서버 침해 흔적 4건과 의심 정황 2건을 확인했다는 겁니다. 하지만 어떤 정보를 담고 있는 서버인지, 실제 데이터 유출이 발생했는지, 소액결제 사건과 연관이 있는지 등은 아직 확인되지 않았다고 해요.
KT에서는 서버 해킹 사고에 앞서 ‘무단 소액 결제 사건’이 발생했는데요. 중국의 범죄 조직이 ‘가짜 기지국’ 장비를 활용해 KT 가입자 정보를 가로채 불법으로 소액 결제를 한 사건입니다. KT의 자체 조사에 따르면, 피해자는 362명에 이르고 피해액은 2억4000만원에 달한다고 하는데요.
‘워 드라이빙’이라고 하는 신종수법이 등장해 충격을 주었어요. 지난 18일 이 사건에 연루된 2명의 중국 국적 피의자가 구속됐습니다. 이들은 지난달 말부터 이달 초까지 ‘펨토셀’이라는 장비를 승합차에 싣고 다니면서 통신망에 침투하는 기상천외한 해킹 수법을 썼습니다. 이들은 경찰 조사에서 윗선의 지시에 따라 범행했다고 진술했다고 해요. 펨토셀은 와이파이 공유기처럼 생겼는데요. 집이나 사무실에서 휴대전화 신호를 잘 잡히게 해주는 초소형 기지국입니다.
이뿐만이 아닙니다. 올해 들어 대규모 해킹 사고가 끊이질 않고 있어요. 지난 4월에는 SKT 서버가 공격받고 총 3696만건의 고객 유심 정보가 유출되는 최악의 해킹 사고가 벌어졌습니다. 국내 최대 인터넷 서점 예스24에서는 지난 6월과 8월 두 차례나 랜섬웨어 공격을 받으면서 전면서비스가 중단된 일이 있었습니다.
민생경제연구소와 참여연대, 한국소비자연맹 등 시민단체 활동가들이 지난 15일 서울 종로구 KT 광화문빌딩 앞에서 기자회견을 열고 SKT유심정보 유출와 KT 소액결제 사태 등 이동통신사 해킹 사태 해결을 촉구하는 퍼포먼스를 하고 있다. 정지윤 선임기자
“기업 절반, 보안 예산 0원”
IT 강국이라는 대한민국에서 이처럼 해킹 이슈가 연달아 터지는 이유가 무엇일까요. 기업들이 수익에만 신경 쓰고, 보안에는 돈을 너무 아꼈다는 지적이 나옵니다. 롯데카드의 대주주는 MBK파트너스입니다. MBK파트너스는 우리은행과 컨소시엄을 구성해 2019년 롯데카드를 1조3810억원에 사들였는데요. 사모펀드 운용사들은 기업을 싼값에 사들이고 나중에 비싼값에 되팔아 이익을 남깁니다. MBK파트너스가 수익성에만 집중하다 보니 반드시 지출해야 할 보안 비용을 줄인 정황도 드러났는데요. 롯데카드의 지난해 지속가능경영보고서에 따르면, 전체 IT 예산에서 정보 보호 투자의 비중이 2021년 12%에서 2023년 8%로 감소했습니다.
실제로 과학기술정보통신부와 한국정보보호산업협회가 발표한 ‘2024 정보보호 실태조사’에 따르면 기업 절반 가까이는 보안 예산이 전혀 없었습니다. 있다 하더라도 500만원 미만이 75.8%인 것으로 나타났습니다. 1억원 이상을 투자하는 곳은 0.6%에 불과했고요. 기업당 평균 보안 인력은 1.1명 수준이었는데, 대부분 내부 인력이었습니다. 기업의 해킹 대응 체계도 심각한 수준입니다. 해킹 사고를 경험한 기업 중 절반 이상(67%)이 별다른 대응을 하지 않은 것으로 나타났어요. 해킹 사고를 당하고도 신고하지 않은 비율은 80.4%에 달했습니다.
정부는 잇따른 해킹 사태를 계기로 보안 체계를 원점에서 점검하기로 했습니다. 과기부와 금융위는 지난 19일 정부서울청사에서 합동브리핑을 열고 국가안보실을 중심으로 국가정보원, 개인정보보호위원회 등 관계기관과 범부처 협의체를 가동해 근본 대책을 마련하겠다고 밝혔는데요. 기업이 침해 사실을 은폐하거나 늦게 신고하면 과태료를 강화하고, 정부가 직접 정황을 확인하면 직접 조사할 수 있도록 제도를 개선하겠다고 밝혔습니다.
또한 그동안 많은 기업이 보안을 비용으로만 인식해 최고정보보호책임자(CISO)가 독립적으로 보고하지도 못했는데, 이제는 CISO가 최고경영자(CEO)에게 직접 보고하는 체계를 제도화한다고 밝혔어요. 제재도 강화됩니다. 대규모 사고가 발생하면 최대 200억원까지 징벌적 과징금도 부과됩니다. 정부의 보안 개선 요구를 이행하지 않으면 이행강제금도 부과됩니다.
롯데카드에서 2014년에도 대규모 해킹 사고가 발생했었다는 사실, 알고 계신가요? 당시 롯데카드를 비롯해 KB국민카드, NH농협카드 등 3개 카드사에서 1억580만건의 개인정보가 빠져나갔습니다. 유출된 정보는 주민등록번호, 카드번호, 결제 내역, 신용등급, 연소득, 결혼 여부, 자가용 보유 유무 등 최대 19개의 민감 데이터였어요. 대한민국 경제활동 인구 75%의 정보가 털린 것으로 추산되는데, 당시 현직이던 박근혜 전 대통령의 개인정보도 빠져나갔다고 합니다. 한국 역대 최대 규모의 개인정보 유출 사건으로 꼽힙니다.
당시에도 롯데카드는 보안 대책 강화를 약속하며 고개를 숙였는데요. 2025년 또다시 같은 일이 반복된 겁니다. 언제까지 소비자들은 소 잃고 외양간 고치는 뒷북 사과를 봐야 할까요. 정부가 한국 기업이 보안에 돈을 쓸 수 있도록 강제하는 방법이 최선입니다.예를 들어 기업이 예산의 5~10%를 ‘보안 예산’으로 편성하도록 법으로 강제하는 등 정부가 적극적으로 나서지 않는다면 기업들의 ‘해킹 불감증’은 사라지지 않을 겁니다.
유영상 SK텔레콤 대표이사가 정부의 해킹 사태 관련 최종 조사 결과가 발표된 지난 7월4일 서울 중구 SKT타워에서 열린 기자회견에서 고개 숙여 사과하고 있다. 연합뉴스
“하나를 보더라도 입체적으로” 경향신문 뉴스레터 <점선면>의 슬로건입니다. 독자들이 생각해볼 만한 이슈를 점(사실), 선(맥락), 면(관점)으로 분석해 입체적으로 보여드립니다. 매일(월~금) 오전 7시 하루 10분 <점선면>을 읽으면서 ‘생각의 근육’을 키워보세요.
<점선면>의 다른 뉴스레터가 궁금하시다면 구독을 눌러주세요! ▶ https://buly.kr/AEzwP5M
매일 아침 '점선면'이
뉴스의 맥락과 관점을 정리해드려요!
