금감원, 금보원과 합동 현장 조사 실시 예정회원 정보 유출 우려에 "현재 확인된 바 없어"2주 전 취득한 보안 인증체계 실효성 지적도
);)
사진=롯데카드 제공
특히 롯데카드는 2주전 '정보보호 및 개인정보보호 관리체계(ISMS-P) 인증'을 획득한 사실이 알라지면서 정보보호 인증 체계 실효성 지적도 나온다.
2일 롯데카드에 따르면 1일 회사 내부 서버에서 해킹 공격으로 인한 데이터 유출 정황을 확인하고 이를 금융당국에 신고했다.
앞서 지난달 26일 내부 서버 점검 중 3개 서버에서 2종의 악성코드와 5종의 웹쉘(Web shell) 등을 발견하고 즉시 삭제한 뒤, 외부 업체를 동원해 데이터 유출 정황 등을 파악하기 위한 정밀 검사에 착수했다.
웹쉘은 해커가 악의적 목적으로 웹서버에 명령을 수행할 수 있는 프로그램이다. 탐지가 쉽지 않아 해킹에서 광범위하게 쓰이는 것으로 전해진다. 해커들은 관리자도 모르게 시스템 권한을 획득한 이후 이른바 다녀간 기록(로그)을 지워 버리기 때문에 웹쉘은 해킹 사고 이후에 발견되는 경우가 많다. 따라서 개인정보 유출과 같은 대형 사고로도 이어질 수 있다는 것이 보안전문가들의 설명이다.
롯데카드는 지난달 31일 온라인 결제 시스템에서 약 1.7GB의 데이터가 유출된 흔적을 확인해 하루 뒤인 지난 1일 관련 사실을 금융감독원에 알렸다. 금감원은 금융보안원과 합동 현장 조사를 거쳐 개인정보 유출 여부와 악성코드 감염 상황 등을 들여다볼 계획이다.
롯데카드 관계자는 "고객 정보 등 주요 정보가 외부로 유출되거나 랜섬웨어 등 심각한 악성코드 감염 정황은 현재까지 확인되지 않은 상황"이라며 "회원들의 피해 예방에 최선의 노력을 다할 것"이라고 밝혔다.
롯데카드는 올 상반기 말 기준 약 967만 명의 고객을 보유하고 있다. 이 때문에 해킹이 발생할 경우 대규모 고객 정보 유출로 이어질 수 있다는 우려가 제기된다.
여기에 롯데카드가 불과 2주 전인 지난달 12일 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 획득한 사실이 알려지면서, 국내 정보보호 인증 체계가 실효성이 부족한 것 아니냐는 지적도 제기되고 있다.
ISMS-P는 정보통신망법 제47조와 개인정보보호법 제32조의 2에 근거해 한국인터넷진흥원에서 부여하는 인증이다. 정보보호 관리체계 인증(ISMS)과 함께 기업이나 기관이 해킹, 내부자 유출, 시스템 장애 등 정보보호 위협에 잘 대비하고 있다고 평가되는 경우 부여한다. 앞서 해킹으로 전체 이용자 2300만명의 개인정보가 유출된 SK텔레콤의 경우도 해당 인증을 받은 것으로 나타났다.
한편 카드업계에서는 2014년 외부 용역업체 관리 부실로 일부 카드사에서 1억580만 건에 달하는 개인정보가 유출된 사건이 발생한 바 있다. 이는 현재까지 국내에서 발생한 개인정보 유출 사건 중 최대 규모다.
뉴스웨이 김명재 기자
emzy0506@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
);){kind=link}
댓글