.jpg)
.gif)
[3줄 요약]
1. 롯데카드 해킹, 8년전 공개된 취약점으로 당해
2. “기본적 점검 미흡하다는 얘기...제2금융권 다수 열악”
3. 기본일수록 간과 위험...경영진 지원 중요성 재차 부각
[보안뉴스 강현주 기자] 롯데카드가 약 8년 전 공개된 취약점으로 해킹을 당한 것으로 나타나면서 ‘기본적 보안’이 미흡하다는 제2금융권의 실정이 부각되고 있다.
2일 보안 업계에서는 2017년 이미 알려진 오라클 웹로직 취약점으로 공격을 당한 것에 대해 기본적 보안 미흡에 대한 지적이 나오고 있다.
2017년 10월 오라클은 자사 웹 애플리케이션 서버(WAS) ‘웹로직’의 취약점 ‘CVE-2017-10271’을 공지하고 패치도 공개한 바 있다. 2018년 1월 한국인터넷진흥원(KISA)은 ‘보호나라’ 사이트에 보안 업데이트 권고를 게시했다.
CVE-2017-10271는 공격자로 하여금 원격 코드 실행을 가능하게 하는 취약점이다.
이번 롯데카드 해킹 사고는 공격자가 이 취약점을 이용, 서버 관리자 권한을 취득해 공격할 수 있게 하는 웹셸 프로그램을 설치하는 방식으로 이뤄졌다.
▲롯데카드 본사 [자료: 연합]
난이도 낮은 해킹이지만 파급력은 심각
이미 오래전 알려진 취약점으로 해킹을 당했다는 면에서 기본적 점검조차 소홀했던 게 아니냐는 지적이 제기된다. 공격자 입장에선 그리 고도화된 수법을 쓸 필요도 없이 쉽게 침투할 수 있었다는 얘기다.
하지만 그 피해는 심각할 수 있다. 롯데카드의 경우 967만명에 달하는 이용자를 보유하고 있다. 이번 해킹으로 내부 결제 시스템 자료 약 1.7GB가 외부로 유출된 것으로 나타났다. 이는 전체 가입자 자료를 담을 수 있는 분량이다.
금융 보안 분야 한 전문가는 “이번 롯데카드 해킹에 악용된 취약점을 공격하는 것은 난이도 낮은 해킹이지만 성공하면 서버 내 임의의 코드 실행 및 시스템 완전 장악이 가능하다는 면에서 파급력은 클 수 있다”며 “실제로 이 취약점을 이용한 웹셸, 랜섬웨어, 암호화폐 채굴 악성코드 유포 등이 가능하다”고 말했다.
이어 “금융 당국 규제를 받는 금융권은 정보보호 공시 의무 대상도 아니고, 대기업이 아닌 경우 기본적인 보안조차 미흡한 경우가 다수”라고 설명했다.
▲2017년 오라클이 공지한 웹로직 취약점 [자료: 오라클]
제1금융권과 격차 커...“보안 책임자에 경영진 귀 기울여야”
금융권은 다른 업계에 비해 보안 투자가 비교적 우수한 것으로 알려진 분야다. 하지만 제1금융권이나 제1금융권 계열 금융사들을 제외하고는 열악한 곳이 다수인 실정이다. 특히 카드와 보험 등 제2금융권은 시중 은행과 같은 제1금융권과 차이가 크다는 게 보안 전문가들의 지적이다.
이번 롯데카드 사고의 경우처럼 이미 공개된 취약점을 장기간 보안 조치도 하지 않는 등 기본적인 점검도 소홀히 하는 금융사들이 다수일 것이라는 설명이다. 제2금융권 분야도 보안 담당자들을 활발히 영입하지만, 보안 투자에 대한 경영진의 적극성은 제1금융권보다 크게 떨어지는 실정이다. 이 때문에 보안 책임자들이 개선점을 발견하고도 조치를 놓치게 되는 경우가 허다하다.
류동주 성신여대 융합보안공학과 교수는 “사이버 공격 기술이 점점 고도화되고 최신 기술에 몰두하다 보면 오래전 취약점으로 공격을 당할 것이라는 생각을 오히려 못할 수 있다”며 “이 점을 노린 공격자에게 허를 찔릴 수 있기 때문에, 안일하게 생각하지 말고 주기적인 기본 점검을 철저히 해야 한다”고 강조했다.
류 교수는 “이러한 기본 점검을 철저히 하기 위해서는 보안 책임자의 개선점 제기에 경영진이 귀 기울여줘야 할 필요가 있는데, 제2금융권에서는 이에 어려움을 겪는 기업들이 비교적 많은 편”이라며 “이번 롯데카드 해킹은 이러한 업계 실정이 투영된 사고로 볼 수 있다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
1. 롯데카드 해킹, 8년전 공개된 취약점으로 당해
2. “기본적 점검 미흡하다는 얘기...제2금융권 다수 열악”
3. 기본일수록 간과 위험...경영진 지원 중요성 재차 부각
[보안뉴스 강현주 기자] 롯데카드가 약 8년 전 공개된 취약점으로 해킹을 당한 것으로 나타나면서 ‘기본적 보안’이 미흡하다는 제2금융권의 실정이 부각되고 있다.
2일 보안 업계에서는 2017년 이미 알려진 오라클 웹로직 취약점으로 공격을 당한 것에 대해 기본적 보안 미흡에 대한 지적이 나오고 있다.
2017년 10월 오라클은 자사 웹 애플리케이션 서버(WAS) ‘웹로직’의 취약점 ‘CVE-2017-10271’을 공지하고 패치도 공개한 바 있다. 2018년 1월 한국인터넷진흥원(KISA)은 ‘보호나라’ 사이트에 보안 업데이트 권고를 게시했다.
CVE-2017-10271는 공격자로 하여금 원격 코드 실행을 가능하게 하는 취약점이다.
이번 롯데카드 해킹 사고는 공격자가 이 취약점을 이용, 서버 관리자 권한을 취득해 공격할 수 있게 하는 웹셸 프로그램을 설치하는 방식으로 이뤄졌다.
▲롯데카드 본사 [자료: 연합]
난이도 낮은 해킹이지만 파급력은 심각
이미 오래전 알려진 취약점으로 해킹을 당했다는 면에서 기본적 점검조차 소홀했던 게 아니냐는 지적이 제기된다. 공격자 입장에선 그리 고도화된 수법을 쓸 필요도 없이 쉽게 침투할 수 있었다는 얘기다.
하지만 그 피해는 심각할 수 있다. 롯데카드의 경우 967만명에 달하는 이용자를 보유하고 있다. 이번 해킹으로 내부 결제 시스템 자료 약 1.7GB가 외부로 유출된 것으로 나타났다. 이는 전체 가입자 자료를 담을 수 있는 분량이다.
금융 보안 분야 한 전문가는 “이번 롯데카드 해킹에 악용된 취약점을 공격하는 것은 난이도 낮은 해킹이지만 성공하면 서버 내 임의의 코드 실행 및 시스템 완전 장악이 가능하다는 면에서 파급력은 클 수 있다”며 “실제로 이 취약점을 이용한 웹셸, 랜섬웨어, 암호화폐 채굴 악성코드 유포 등이 가능하다”고 말했다.
이어 “금융 당국 규제를 받는 금융권은 정보보호 공시 의무 대상도 아니고, 대기업이 아닌 경우 기본적인 보안조차 미흡한 경우가 다수”라고 설명했다.
▲2017년 오라클이 공지한 웹로직 취약점 [자료: 오라클]
제1금융권과 격차 커...“보안 책임자에 경영진 귀 기울여야”
금융권은 다른 업계에 비해 보안 투자가 비교적 우수한 것으로 알려진 분야다. 하지만 제1금융권이나 제1금융권 계열 금융사들을 제외하고는 열악한 곳이 다수인 실정이다. 특히 카드와 보험 등 제2금융권은 시중 은행과 같은 제1금융권과 차이가 크다는 게 보안 전문가들의 지적이다.
이번 롯데카드 사고의 경우처럼 이미 공개된 취약점을 장기간 보안 조치도 하지 않는 등 기본적인 점검도 소홀히 하는 금융사들이 다수일 것이라는 설명이다. 제2금융권 분야도 보안 담당자들을 활발히 영입하지만, 보안 투자에 대한 경영진의 적극성은 제1금융권보다 크게 떨어지는 실정이다. 이 때문에 보안 책임자들이 개선점을 발견하고도 조치를 놓치게 되는 경우가 허다하다.
류동주 성신여대 융합보안공학과 교수는 “사이버 공격 기술이 점점 고도화되고 최신 기술에 몰두하다 보면 오래전 취약점으로 공격을 당할 것이라는 생각을 오히려 못할 수 있다”며 “이 점을 노린 공격자에게 허를 찔릴 수 있기 때문에, 안일하게 생각하지 말고 주기적인 기본 점검을 철저히 해야 한다”고 강조했다.
류 교수는 “이러한 기본 점검을 철저히 하기 위해서는 보안 책임자의 개선점 제기에 경영진이 귀 기울여줘야 할 필요가 있는데, 제2금융권에서는 이에 어려움을 겪는 기업들이 비교적 많은 편”이라며 “이번 롯데카드 해킹은 이러한 업계 실정이 투영된 사고로 볼 수 있다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)