ISMS-P 인증 한 달도 안 돼 뚫려·
금융권 보안 관리 부실 논란 게티이미지뱅크 

금융감독원이 해킹 공격을 당한 롯데카드에 대해 현장 검사에 착수했으며, 고객정보 유출 여부와 보안 인증 체계 실효성에 의문이 제기되고 있다.

금융감독원이 해킹 공격을 당한 롯데카드에 대해 현장 검사를 진행하고 있다. 롯데카드 측은 개인정보 유출 사실은 확인되지 않았다고 밝혔지만, 추가 공격이나 핵심 시스템 정보 유출 가능성을 배제할 수 없는 상황이다. 특히 정부가 관리하는 정보보호·개인정보보호 관리체계(ISMS-P) 인증을 획득한 지 한 달도 되지 않아 발생한 사건이라 업계 파장이 크다.

2일 금융감독원은 금융보안원과 함께 롯데카드 고객정보 유출 여부 등 사실관계를 확인 중이라고 밝혔다. 롯데카드는 지난달 26일 서버 점검 과정에서 일부 서버가 악성코드에 감염된 사실을 발견해 전체 서버를 확인했으며, 3개 서버에서 2종의 악성코드와 5종의 웹셸(web shell)을 제거했다. 이어 지난달 31일 온라인 결제 서버에서 외부 공격자의 자료 유출 시도 흔적이 확인돼 전날 금융당국에 보고했다.

보안업계는 웹셸 발견에 주목한다. 웹셸은 해커가 원격으로 서버를 제어할 수 있는 프로그램으로, 일단 설치되면 추가 침투와 장기 잠복을 가능하게 한다. 한 보안업계 관계자는 “악성코드보다 웹셸 발견 자체가 근본적 위협을 의미한다”며 “구버전 웹환경을 방치한 보안 취약점이 주요 원인일 가능성이 크다”고 지적했다.

롯데카드가 금융당국에 보고한 유출 정보는 약 1.7Gb 규모로, 최소 두세 달치 거래 데이터가 포함됐을 것으로 추정된다. 업계는 이 데이터가 2차 공격에 악용될 가능성을 우려하고 있다. 더욱이 이번 해킹은 이미 2017년 패치된 취약점이 매개가 된 것으로 알려졌다.

금융권 관계자는 “사실상 보안 투자를 제대로 하지 않은 상태에서 인증 취득에만 집중했을 가능성이 크다”며 “금융당국 조사 이후에도 시스템 개편이 이뤄지지 않으면 추가 피해가 발생할 수 있다”고 말했다.

[ⓒ 도시경제채널. 무단전재-재배포 금지]