올해 8월 중순, 롯데카드의 서버가 해킹당하는 사건이 발생했습니다. 무려 17일이 지나서야 이 사실을 인지했다는 점에서 금융권과 소비자 모두 큰 충격을 받았습니다.
더 놀라운 점은, 해커가 사용한 수법이 8년 전 알려진 취약점을 그대로 이용했다는 사실입니다. “보안은 기본이 중요하다”는 교훈을 되새기게 하는 사건이 아닐 수 없습니다.
이 글에서는 롯데카드 해킹 사고의 경과, 소비자 보호 조치, 보안 허점, 그리고 우리가 취해야 할 행동 지침까지 상세히 살펴보겠습니다.
롯데카드 해킹 경위와 피해 규모
언제, 어떻게 해킹이 발생했나?
금융감독원 조사에 따르면, 해킹 시도는 지난달 14일부터 16일까지 총 3일간 이어졌습니다.
그 중 14일과 15일에는 총 2차례 정보 유출에 성공했고, 16일의 시도는 실패로 끝났습니다.
| 해킹 시도 일정 | 내용 | 결과 |
|---|---|---|
| 8월 14일 | 온라인 결제 서버 침입 | 1차 정보 유출 성공 |
| 8월 15일 | 동일 경로로 재시도 | 2차 유출 성공 |
| 8월 16일 | 보안 강화로 유출 실패 | 실패 |
총 유출된 내부 정보는 약 1.7GB, 이 안에는 결제 정보, 고객 정보 등이 일부 포함된 것으로 추정됩니다.
하지만 가장 큰 문제는 롯데카드가 해킹 사실을 8월 31일이 되어서야 인지했다는 점입니다. 보안 점검 체계가 얼마나 느슨했는지를 단적으로 보여줍니다.
해킹 수법은 8년 전 취약점
“CVE-2017-10271”… 아직도 쓰이나?
이번 해킹은 2017년 오라클 웹로직(WebLogic)의 취약점(CVE-2017-10271)을 이용한 것입니다.
이 취약점은 공격자가 서버에 원격으로 악성코드를 실행할 수 있게 해주는 허점으로, 이미 패치가 공개된 지 오래된 구멍입니다.
그럼에도 불구하고 롯데카드는 이를 방치했고, 해커는 **웹셸(Web Shell)**을 설치해 내부 정보를 빼낼 수 있었습니다.
“8년 전 보안 결함으로 인해 수백만 명의 정보가 위험에 처했다는 것은 업계 전반의 구조적 문제를 드러낸다.”
— 류동주 교수 (성신여대 융합보안공학과)
제2금융권 보안, 제1금융권과 차이 커
보안 전문가들은 제2금융권, 특히 카드사들의 기본 보안 점검 미흡과 투자 부족을 지적합니다.
대부분의 카드사에서는 보안 책임자(CISO)가 다른 직책과 겸직 중이며, 롯데카드 역시 정보보호실장이 CPO, CIAP까지 겸하고 있습니다.
소비자 보호 조치 및 대응 방안
금감원, “부정 사용 시 전액 보상” 지시
금융감독원은 이번 사고를 매우 심각하게 보고, 소비자 피해 발생 시 전액 보상을 명령했습니다.
이는 여신전문금융업법과 약관에 따른 조치로, 소비자가 고의나 중대한 과실이 없는 경우 전액 보상이 가능합니다.
롯데카드의 대응 조치 요약표
| 조치 항목 | 내용 |
|---|---|
| 고객센터 강화 | ARS 1-9번 전담 상담사 연결 운영 (24시간) |
| 앱/홈페이지 조치 | 비밀번호 변경, 카드 재발급, 해외결제 차단 기능 제공 |
| 피해 예방 | 이상 금융거래 실시간 모니터링 |
| 보상 정책 | 피해 발생 시 선보상 후조사 원칙 채택 |
| 영업시간 | 임시로 밤 10시까지 연장 운영 중 |
소비자가 지금 해야 할 일
롯데카드 사용자라면 다음과 같은 조치를 취하는 것이 좋습니다.
- 비밀번호 즉시 변경
- 해외 결제 차단 기능 설정
- 카드 재발급 요청
- 이상 거래 문자 알림 서비스 활성화
- 필요 시 탈회 요청 (단, 잔여 포인트·잔액 확인 필수)
이러한 조치를 앱이나 홈페이지에서 대부분 처리할 수 있으며, 탈회만은 상담사와의 통화가 필요합니다.
이슈가 드러낸 금융보안
이번 롯데카드 해킹 사건은 단순한 기술적 문제를 넘어 카드업계의 보안 구조 문제를 드러냈습니다.
특히 보안책임자 겸직 체제가 즉각적 사고 대응을 어렵게 만든다는 점에서 제도 개선의 필요성이 강하게 제기됩니다.
또한, 금융소비자가 신뢰하는 기업이라면 사고 발생 이전에 위험을 차단할 수 있는 시스템을 갖춰야 마땅합니다.
지금 이 순간에도 잠재적인 해커들은 과거 취약점을 노리고 있을 수 있습니다.
보안은 기본이 중요하다
“해커는 빠르게 진화하지만, 우리의 보안은 제자리걸음”
이번 롯데카드 해킹 사건은 이 문장을 실감하게 만듭니다.
보안은 기술적인 ‘최첨단’보다, 오히려 ‘기본’을 지키는 것이 훨씬 중요합니다.
기업은 주기적인 점검과 보안투자, 책임자 전담 체계 마련이 필수이며, 소비자 또한 자신의 정보 보호에 적극 나서야 합니다.
✅ 지금 확인하세요
- 카드 비밀번호는 최근에 바꾸셨나요?
- 해외 결제 차단 기능을 켜두셨나요?
- 내 카드 거래내역, 혹시 이상 징후는 없나요?
당신의 정보는 생각보다 훨씬 더 가치 있는 자산입니다.
작은 점검이 큰 피해를 막을 수 있습니다.
롯데카드 해킹 Q&A
롯데카드 해킹으로 인한 정보 유출이 확실한가요?
현재까지 유출 시도는 확인되었지만, 개인정보 유출 여부는 조사 중입니다. 금감원과 롯데카드 모두 결과를 신속히 발표할 예정입니다.
피해 발생 시, 실제로 전액 보상이 가능한가요?
네, 여신전문금융업법에 따라 소비자가 고의나 중대한 과실이 없다면 전액 보상받을 수 있습니다.
보안조치는 앱에서도 가능한가요?
비밀번호 변경, 해외결제 차단, 카드 재발급은 모두 롯데카드 앱 및 홈페이지에서 간편하게 처리할 수 있습니다.
탈회는 어떻게 하나요?
탈회는 상담원과 통화 후에만 가능합니다. 잔여 포인트와 미결제 내역에 대한 안내가 필요하기 때문입니다.
왜 해킹 사실을 17일간 몰랐던 건가요?
보안책임자의 겸직 체제와 기본 점검 부족이 원인으로 지적되고 있습니다. 서버 모니터링과 경보 체계가 미흡했던 것으로 보입니다.
