기술적 복잡성 심화로 수만 개 창을 몇 개 방패로 막는 셈…“보안 예산·인력·전문성 모두 개선돼야”
웹 로직은 글로벌 IT기업인 미국의 오라클사가 개발한 대표적인 자바 웹 애플리케이션 서버(WAS) 제품이다. 금융, 공공, 결제 시스템 등 기술적 안정성과 대규모 트래픽 처리가 중요한 서비스에서 주로 사용된다. 롯데카드는 오라클의 웹 로직 애플리케이션 서버를 사용해 고객 결제 정보 관리와 일부 해외 서비스 서버를 운영해왔다. 조 대표가 언급한 보안패치는 오라클사가 2017년 10월 ‘웹 로직 서버 원격 코드 실행 취약점(CVE-2017-10271)’을 발표하며 제공한 것으로, 48개 온라인 결제서버 중 해외 소규모 페이 서비스를 수행하는 서버 한 개에 패치 업데이트가 누락돼 해커들의 공격 통로가 됐다는 설명이다.
조사 결과에 따르면 고객 정보를 유출한 해커는 결제 정보 서버에 웹셀(악성 스크립트 파일)을 설치한 뒤 정상 트래픽으로 위장하며 장기간에 걸쳐 고객 데이터와 결제 관련 정보를 조금씩 빼돌린 것으로 파악됐다. 이렇게 탈취한 고객 정보의 양은 200GB(기가바이트)에 달한다. 지난 4월 SK텔레콤에서 유출된 개인정보 9.82GB와 비교해 약 20배 많다.
롯데카드는 해킹 발생 후 17일이나 지나 이를 인지해 피해를 더욱 키웠다. 국회 정무위원회 소속 강민국 의원(국민의힘)이 금융감독원에서 받은 자료에 따르면 해킹은 지난 8월 14일과 15일, 이틀에 걸쳐 발생했고, 롯데카드가 인지한 시점은 같은 달 31일이다.
카드사가 정보 시스템을 구축할 때 통상 외부 모듈을 도입해 여러 소프트웨어를 조합해 구축하는데, 이를 내부 인력이 정확히 파악하고 있지 않다고 업계 전문가들은 설명한다. 박기웅 세종대 정보보호학과 교수는 “롯데카드 외에도 대부분 카드사의 정보시스템도 다양한 소프트웨어가 얽혀 있어, 새로운 위협이 발생했을 때 이를 파악하기 어려운 구조일 수밖에 없다”며 “요즘은 코드 개발에도 LLM(대규모 언어 모델) 기반 AI 기술이 활용되지만, 생성된 코드를 충분히 검증하지 않고 사용하면 예상치 못한 오류나 보안상 구멍이 생길 수 있다”고 설명했다.
전체 카드사의 보안 상태를 정부나 여신금융협회가 직접 점검한 결과가 공개돼 있는 것은 없다. 다만, 카드사들의 자체 감사 결과에 따르면 국내 카드사의 약 80%가 자사의 보안 상태를 ‘미흡’하다고 진단한 것으로 확인됐다. 지난 23일 금융감독원이 국회 정무위위원회 소속 강준현 의원(더불어민주당)에게 제출한 자료를 이데일리가 분석한 결과를 보면, 신한·삼성·현대·국민·하나·우리·롯데·BC카드 등 국내 8개 카드사가 최근 5년간 정기적으로 자체 IT 감사를 벌인 결과 스스로 ‘적정하다’고 판단한 비율이 20%에 그쳤다. 삼성·현대·BC카드는 매년 ‘일부 미흡하다’고 판단, 신한·하나·우리카드는 한 해를 제외하고 모두 ‘일부 미흡’하다고 판단했다.
롯데카드의 올해 정보보호 예산은 96억 5600만 원으로 전체 정보기술(IT)예산의 9%를 차지, 2020년과 비교해 5.2%포인트 감소했다. △우리카드(-4.4%p) △삼성카드(-3.0%p) △비씨카드(-1.3%p) △신한카드(-0.7%p)도 같은 기간 정보보호 예산 비율이 줄었다.
전문가들은 보안 예산 증액뿐 아니라 보안 인력 규모, 보안 책임자의 전문성이 모두 개선돼야 유사 사고 대처가 가능할 것이라고 조언한다. 전체 시스템과 취약점을 정확히 파악할 수 있는 전문가가 내부에 있어야 한다는 지적이다. 국내 인증보안 전문기업 ‘이니텍’의 유병재 보안사업담당 이사는 ‘일요신문i’에 “이제는 해커들이 장기간 준비를 통해 서버를 탈취하면서도 (공격을) 안 한 것처럼 속이는 수준까지 왔다”며 “질적·양적으로 모두 해커들을 기업 보안담당자들이 대응할 수 있는 수준을 넘어, 마치 수만 개의 창을 몇 개 안 되는 방패로 막고 있는 상황”이라고 말했다. 유 이사는 “지금까지 경계 기반 보안은 네트워크 내부를 신뢰했지만 클라우드·원격근무 등으로 그 경계가 모호해져, 어떤 것도 신뢰할 수 없다는 이른바 ‘제로트러스트’ 원칙으로 보안 솔루션 매커니즘을 전환해야 한다”고 덧붙였다.
김정아 기자 ja.kim@ilyo.co.kr