8년 전 경고 있었는데…"보안조치 실수로 털렸다"

<앵커>

이번 조사에서 롯데카드의 허술한 보안 관리가 고스란히 드러났습니다. 롯데카드가 사용하는 해외 소프트웨어는 이미 8년 전에 해킹에 취약한 부분이 드러나 보안 업데이트를 해야 했는데, 업데이트가 되지 않은 서버가 있었고 이곳을 통해 고객 정보가 탈취된 겁니다.

이어서 박재현 기자입니다.

<기자>

롯데카드는 고객 결제 정보 서버 관리에 미국 오라클 사의 '웹로직'을 사용하고 있었습니다.

서버와 서버를 중개해 주는 소프트웨어의 일종인데, 이미 지난 2017년 보안 취약점이 문제가 되며 제조사에서 나서 업데이트를 권고하기도 했습니다.

롯데카드도 운영 중이던 48개 서버에 보안 패치를 진행했는데, 그 과정에서 해외 소규모 서비스를 담당하는 웹로직에는 누락한 것으로 확인됐습니다.

[최용혁/롯데카드 정보보호실장 : 48개의 웹로직 서버에 대해서 당시에 저희도 역시 보안 패치를 실시하였습니다만, 웹로직 하나가 그 보안 패치 과정에서 누락된 사실을….]

결국, 이게 해커의 정보 탈취 경로가 됐습니다.

서버의 제어권이 탈취되면 정보 유출, 추가 악성코드 설치, 네트워크 내 다른 시스템 공격까지 가능해져, 사실상 모든 권한을 해커에게 빼앗기게 됩니다.

결국, 해커는 이런 취약점을 이용해 서버를 드나들며 200 기가바이트 분량의 고객 정보를 탈취했습니다.

롯데카드는 17일이나 해킹 사실을 인지하지 못했고, 당국에 신고할 때도 정보 유출량은 1.7 기가바이트라며 상황 파악도 제대로 하지 못했습니다.

[최용혁/롯데카드 정보보호실장 : 한 번에 확 뭔가를 가져가거나 특이한 것들이 저희가 상시 모니터링을 하는 과정에서 노출될 수 있는 상황도 아니었고요.]

여기에 탈취된 데이터 중 56%만 암호화 돼 있었습니다.

초기 탈취당한 1.7 기가바이트 데이터는 복구에 실패하면서 어떤 정보가 빠져나갔는지도 확인이 불가능합니다.

[곽진/아주대 사이버보안학과 교수 : 똑같은 사고가 발생을 하지 않으면 이제 그 부분은 우리 조직의 보안은 다 해결이 됐다라고 생각을 하는 것 같아요. 다른 쪽에 대해서 상대적으로 좀 뭔가 소홀한 부분이 발생할 수가….]

롯데카드는 재발 방지를 위해 앞으로 5년간 1천100억 원 규모의 투자를 진행해 보안을 대폭 강화하겠다고 밝혔습니다.

(영상취재 : 김학모·윤 형, 영상편집 : 신세은, 디자인 : 박태영)