기업 차원뿐 아니라 국가 차원의 대응 전략 반드시 뒷받침돼야
[보안뉴스= 베종찬 인사이트케이 연구소장] 많은 가입자를 확보하고 있는 대형 카드사인 롯데카드가 해킹에 뚫렸다. 960만명의 회원을 보유한 롯데카드 해킹 사고 피해 규모가 초기 보고한 것보다 큰 것으로 파악됐다. 개인정보 유출 피해를 본 고객 수가 297만명에 이르는 것으로 확인됐다. 이 중 카드 번호, 유효 기간, CVC 번호(카드 뒷면 3자리 숫자), 비밀번호 등 부정 결제에 이용될 수 있는 정보까지 유출된 고객이 28만명이었다.
▲조좌진 롯데카드 대표이사가 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 마친 뒤 취재진 질문에 답변하고 있다. [자료: 연합]
지난달 14~15일에 걸쳐 온라인 결제 서버 해킹으로 내부 파일이 유출됐다. 하지만 롯데카드가 해킹 사고를 인지한 것은 같은 달 31일 정오쯤이다. 최초 해킹 사태가 발생한 후 17일이 지나서야 알게 된 셈이다. 고객 정보 유출의 큰 문제점은 SK텔레콤 유심 정보 유출, KT 소액 무단 결제 사고 등에서 보는 것처럼 실시간으로 정보 유출에 대한 파악이 전혀 이뤄지지 않고 있다는 점이다.
롯데카드 해킹 유출이 더 심각한 점은 통신사와 달리 카드사는 여러 안전 장치를 마련해 두는 경우가 많다. 실제로 카드를 사용할 때 보면 각종 정보를 몇 단계에 걸쳐서 입력해야 하는 과정이 있다. 그럼에도 불구하고 해킹 사고가 발생했다. 더 심각한 문제는 해외 온라인 가맹점에서 본인 인증을 거치지 않고도 이런 카드 정보와 비밀번호 앞 두 자리를 입력해 결제가 가능하다는 점이다.
롯데카드는 지난달 31일 외부에서 누군가 1.7GB 분량의 데이터 반출을 시도한 흔적을 발견하고 자체 조사 후 “주요 정보의 외부 유출은 확인되지 않았다”고 밝혔다. 그러나 사실은 전혀 달랐다. 금융 당국 현장 검사에서 200GB의 정보가 유출됐고, 피해 고객도 300만명에 육박한다.
금융사는 고객들의 신뢰가 중요한데 롯데카드의 신뢰는 무너졌다. 롯데카드에 대한 빅데이터 반응은 어떨까. 빅데이터 심층 분석 도구인 썸트렌드(SomeTrend)로 지난 9월 1일부터 17일까지 롯데카드에 대한 빅데이터 감성 연관어를 도출해 보았다.
▲롯데카드 해킹에 대한 빅데이터 감성 연관어 [자료: 인사이트케이]
롯데카드에 대한 빅데이터 감성 연관어는 ‘피해’, ‘보상’, ‘가능하다’, ‘알려지다’, ‘불안’, ‘정보유출’, ‘강화하다’, ‘우려’, ‘범죄’, ‘피싱’, ‘보상하다’, ‘할인쿠폰’, ‘감염되다’, ‘불안감’, ‘신뢰’, ‘심각하다’, ‘사고발생’, ‘보이스피싱’, ‘충격’, ‘안전하다’, ‘공격받다’, ‘불안하다’, ‘혜택받다’, ‘실패하다’, ‘할인받다’, ‘해킹당하다’, ‘비판’, ‘기대’, ‘심각한수준’, ‘조치취하다’ 등으로 나타났다(위 그림). 롯데카드에 대한 빅데이터 감성 연관어는 대체적으로 부정적으로 나왔으며 개인 정보 유출과 관련 있는 연관어로 ‘심각하다’, ‘심각한수준’ 등이 나타나 있다.
이번에 대규모 개인정보 유출 사태를 맞은 롯데카드는 더 이상 롯데그룹이 대주주가 아니다. 우리에게 홈플러스로 잘 알려진 MBK파트너스가 대주주이고 경영권을 가지고 있다. 18일 롯데카드 조좌진 대표는 이번 침해 사고로 인한 피해액 전액을 보상하겠다고 밝혔다. 고객정보 유출로 인한 2차 피해도 연관성이 확인될 경우 전액 보상할 뜻을 분명히 했다.
▲배종찬 연구소장 [자료: 인사이트케이]
해킹 사고 피해 고객 전원에게 연말까지 금액과 무관하게 무이자 10개월 할부 서비스를 무료로 제공한다. 특히 피해 가능성이 큰 최우선 재발급 대상 28만명에 한해 카드 재발급 시 차년도 연회비를 한도 없이 면제한다고 밝혔다.
하지만 일이 터지고 난 다음에 아무리 사후약방문(死後藥方文)을 한들 무슨 소용이 있겠는가. 무엇보다 중국, 러시아 또는 북한 해커들의 사이버 해킹이 기승을 부리고 있는 가운데 기업 차원뿐 아니라 국가 차원의 대응 전략이 반드시 뒷받침돼야 한다는 것을 실감하게 된다.
[글_ 배종찬 인사이트케이 연구소장]
저자 소개_ 연세대 정치외교학과를 졸업하고 서울대 국제대학원에서 석사 학위를 받았다. 고려대 행정학과 박사과정을 수료했다. 이 외에 미국, 일본, 홍콩 등에서 연구 경험을 가지고 있다. 주된 관심은 정치시사와 경제정책인데 특히 대통령 지지율과 국정 리더십, 글로벌 경제 분석 그리고 AI 인공지능 및 블록체인 보안 이슈다. 한국교육개발원·국가경영전략연구원·한길리서치에서 근무하고 리서치앤리서치 본부장을 거친 데이터 분석 전문가다. 현재 인사이트케이 연구소장을 맡아 심층 리서치뿐 아니라 빅데이터·유튜브까지 업무영역을 확대하고 있다.
[보안뉴스= 베종찬 인사이트케이 연구소장] 많은 가입자를 확보하고 있는 대형 카드사인 롯데카드가 해킹에 뚫렸다. 960만명의 회원을 보유한 롯데카드 해킹 사고 피해 규모가 초기 보고한 것보다 큰 것으로 파악됐다. 개인정보 유출 피해를 본 고객 수가 297만명에 이르는 것으로 확인됐다. 이 중 카드 번호, 유효 기간, CVC 번호(카드 뒷면 3자리 숫자), 비밀번호 등 부정 결제에 이용될 수 있는 정보까지 유출된 고객이 28만명이었다.
▲조좌진 롯데카드 대표이사가 18일 서울 중구 부영태평빌딩에서 해킹 사고로 인한 고객 정보 유출사태에 대해 대고객 사과를 마친 뒤 취재진 질문에 답변하고 있다. [자료: 연합]
지난달 14~15일에 걸쳐 온라인 결제 서버 해킹으로 내부 파일이 유출됐다. 하지만 롯데카드가 해킹 사고를 인지한 것은 같은 달 31일 정오쯤이다. 최초 해킹 사태가 발생한 후 17일이 지나서야 알게 된 셈이다. 고객 정보 유출의 큰 문제점은 SK텔레콤 유심 정보 유출, KT 소액 무단 결제 사고 등에서 보는 것처럼 실시간으로 정보 유출에 대한 파악이 전혀 이뤄지지 않고 있다는 점이다.
롯데카드 해킹 유출이 더 심각한 점은 통신사와 달리 카드사는 여러 안전 장치를 마련해 두는 경우가 많다. 실제로 카드를 사용할 때 보면 각종 정보를 몇 단계에 걸쳐서 입력해야 하는 과정이 있다. 그럼에도 불구하고 해킹 사고가 발생했다. 더 심각한 문제는 해외 온라인 가맹점에서 본인 인증을 거치지 않고도 이런 카드 정보와 비밀번호 앞 두 자리를 입력해 결제가 가능하다는 점이다.
롯데카드는 지난달 31일 외부에서 누군가 1.7GB 분량의 데이터 반출을 시도한 흔적을 발견하고 자체 조사 후 “주요 정보의 외부 유출은 확인되지 않았다”고 밝혔다. 그러나 사실은 전혀 달랐다. 금융 당국 현장 검사에서 200GB의 정보가 유출됐고, 피해 고객도 300만명에 육박한다.
금융사는 고객들의 신뢰가 중요한데 롯데카드의 신뢰는 무너졌다. 롯데카드에 대한 빅데이터 반응은 어떨까. 빅데이터 심층 분석 도구인 썸트렌드(SomeTrend)로 지난 9월 1일부터 17일까지 롯데카드에 대한 빅데이터 감성 연관어를 도출해 보았다.
▲롯데카드 해킹에 대한 빅데이터 감성 연관어 [자료: 인사이트케이]
롯데카드에 대한 빅데이터 감성 연관어는 ‘피해’, ‘보상’, ‘가능하다’, ‘알려지다’, ‘불안’, ‘정보유출’, ‘강화하다’, ‘우려’, ‘범죄’, ‘피싱’, ‘보상하다’, ‘할인쿠폰’, ‘감염되다’, ‘불안감’, ‘신뢰’, ‘심각하다’, ‘사고발생’, ‘보이스피싱’, ‘충격’, ‘안전하다’, ‘공격받다’, ‘불안하다’, ‘혜택받다’, ‘실패하다’, ‘할인받다’, ‘해킹당하다’, ‘비판’, ‘기대’, ‘심각한수준’, ‘조치취하다’ 등으로 나타났다(위 그림). 롯데카드에 대한 빅데이터 감성 연관어는 대체적으로 부정적으로 나왔으며 개인 정보 유출과 관련 있는 연관어로 ‘심각하다’, ‘심각한수준’ 등이 나타나 있다.
이번에 대규모 개인정보 유출 사태를 맞은 롯데카드는 더 이상 롯데그룹이 대주주가 아니다. 우리에게 홈플러스로 잘 알려진 MBK파트너스가 대주주이고 경영권을 가지고 있다. 18일 롯데카드 조좌진 대표는 이번 침해 사고로 인한 피해액 전액을 보상하겠다고 밝혔다. 고객정보 유출로 인한 2차 피해도 연관성이 확인될 경우 전액 보상할 뜻을 분명히 했다.
▲배종찬 연구소장 [자료: 인사이트케이]
해킹 사고 피해 고객 전원에게 연말까지 금액과 무관하게 무이자 10개월 할부 서비스를 무료로 제공한다. 특히 피해 가능성이 큰 최우선 재발급 대상 28만명에 한해 카드 재발급 시 차년도 연회비를 한도 없이 면제한다고 밝혔다.
하지만 일이 터지고 난 다음에 아무리 사후약방문(死後藥方文)을 한들 무슨 소용이 있겠는가. 무엇보다 중국, 러시아 또는 북한 해커들의 사이버 해킹이 기승을 부리고 있는 가운데 기업 차원뿐 아니라 국가 차원의 대응 전략이 반드시 뒷받침돼야 한다는 것을 실감하게 된다.
[글_ 배종찬 인사이트케이 연구소장]
저자 소개_ 연세대 정치외교학과를 졸업하고 서울대 국제대학원에서 석사 학위를 받았다. 고려대 행정학과 박사과정을 수료했다. 이 외에 미국, 일본, 홍콩 등에서 연구 경험을 가지고 있다. 주된 관심은 정치시사와 경제정책인데 특히 대통령 지지율과 국정 리더십, 글로벌 경제 분석 그리고 AI 인공지능 및 블록체인 보안 이슈다. 한국교육개발원·국가경영전략연구원·한길리서치에서 근무하고 리서치앤리서치 본부장을 거친 데이터 분석 전문가다. 현재 인사이트케이 연구소장을 맡아 심층 리서치뿐 아니라 빅데이터·유튜브까지 업무영역을 확대하고 있다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)