.jpg)
제2금융권 전반 기본적 보안 점검 미흡
첨단 보안 시스템에 거액 투자해도 기본 수칙 안 지키면 허사
[보안뉴스 강현주 기자] 2025년은 보안이 비교적 탄탄하다고 알려진 금융권마저 줄줄이 해킹 공격에 뚫리면서 ‘기본’에 충실해야 한다는 경종을 울린 한 해였다.
특히 롯데카드 해킹 사고는 수년 전 이미 알려져 패치까지 배포된 오래된 취약점을 방치해 발생했다는 사실이 드러나면서, 금융권 전반의 ‘기본’ 보안 수칙 부재가 얼마나 위험한지 여실히 보여주고 있다.
롯데카드 해킹의 핵심 원인은 2017년 공개된 취약점에 대한 보안 패치가 누락된 서버 운영에 있다. 이는 해커들이 고도의 기술이 아닌, 이미 세상에 알려진 취약점을 통해 손쉽게 침투할 수 있었다는 것을 의미한다.
▲2025년 금융권 해킹 사고들이 잇따랐다. [자료: 생성형AI 이미지]
롯데카드는 온라인 결제 서버 중 한 개 서버에 사용된 오라클 웹로직(WebLogic) 프로그램의 보안 패치 설치를 누락한 채 운용하다가, 이를 노린 해커에 공격 통로를 열어준 셈이 됐다.
웹로직은 금융·공공기관에서 안정성 때문에 주로 사용하는 핵심 시스템이다. 회사 측은 48개 결제 서버 중 단 한 개의 서버에서 이 패치가 누락되었다고 밝혔으나, 해커는 이 치명적 구멍을 통해 악성 스크립트 파일인 웹셸(Webshell)을 설치하고 장기간에 걸쳐 고객 데이터를 빼돌린 것으로 파악된다.
롯데카드에서는 약 297만 명의 고객 정보가 유출되는 대규모 사고로 이어졌으며, 이 중 28만 명은 카드번호, CVC(카드 보안 코드), 유효기간 등 민감한 결제 정보까지 유출되어 2차 금융 피해 우려가 커지고 있다.
보안 투자에 나름 신경써 왔다는 롯데카드가 8년 전에 알려진 취약점을 누락했다는 점은 제2금융권 전반에 걸쳐 기본적인 보안 점검이 미흡하다는 현실을 투영한다.
국회 정무위원회 소속 강민국 의원실이 금융감독원에서 받은 ‘국내 금융업권 해킹 발생 현황’ 자료에 따르면, 올해 9월까지 금융권 해킹 사고는 총 8건으로 집계됐다.
아이엠뱅크(2월 28일), 케이비라이프생명(5월 16일), 노무라금융투자(5월 16일), 한국스탠다드차다드은행(5월 18일), 하나카드(6월 17일), 서울보증보험(7월 14일), 약사손해보험(8월 3일), 롯데카드(8월 12일) 등에서 해킹 사고가 발생했다.
법인보험대리점 2곳 개인정보 유출(4월), 웰컴금융그룹 계열사 웰릭스에프앤아이대부(8월) 등 금융당국의 직접 관리·감독 대상에 포함되지 않는 사고까지 감안하면 실제 규모는 더 클 것으로 예상된다.
사고의 상당수는 최신 보안 패치 미적용, 접근 통제 소홀, 외주 협력업체 취약점을 통한 본사망 침투 등 기본적 보안 수칙을 지키지 않아 발생한 것으로 알려졌다. 이는 첨단 보안 시스템에 거액을 투자했더라도, 가장 기초적인 곳에 난 구멍 하나가 전체 시스템을 무너뜨릴 수 있음을 입증한다.
해커들은 최신 기술보다 방치된 구식 취약점이 더 쉬운 먹잇감임을 알고 이를 집중적으로 공략하고 있다.
[강현주 기자(jjoo@boannews.com)]
첨단 보안 시스템에 거액 투자해도 기본 수칙 안 지키면 허사
[보안뉴스 강현주 기자] 2025년은 보안이 비교적 탄탄하다고 알려진 금융권마저 줄줄이 해킹 공격에 뚫리면서 ‘기본’에 충실해야 한다는 경종을 울린 한 해였다.
특히 롯데카드 해킹 사고는 수년 전 이미 알려져 패치까지 배포된 오래된 취약점을 방치해 발생했다는 사실이 드러나면서, 금융권 전반의 ‘기본’ 보안 수칙 부재가 얼마나 위험한지 여실히 보여주고 있다.
롯데카드 해킹의 핵심 원인은 2017년 공개된 취약점에 대한 보안 패치가 누락된 서버 운영에 있다. 이는 해커들이 고도의 기술이 아닌, 이미 세상에 알려진 취약점을 통해 손쉽게 침투할 수 있었다는 것을 의미한다.
▲2025년 금융권 해킹 사고들이 잇따랐다. [자료: 생성형AI 이미지]
롯데카드는 온라인 결제 서버 중 한 개 서버에 사용된 오라클 웹로직(WebLogic) 프로그램의 보안 패치 설치를 누락한 채 운용하다가, 이를 노린 해커에 공격 통로를 열어준 셈이 됐다.
웹로직은 금융·공공기관에서 안정성 때문에 주로 사용하는 핵심 시스템이다. 회사 측은 48개 결제 서버 중 단 한 개의 서버에서 이 패치가 누락되었다고 밝혔으나, 해커는 이 치명적 구멍을 통해 악성 스크립트 파일인 웹셸(Webshell)을 설치하고 장기간에 걸쳐 고객 데이터를 빼돌린 것으로 파악된다.
롯데카드에서는 약 297만 명의 고객 정보가 유출되는 대규모 사고로 이어졌으며, 이 중 28만 명은 카드번호, CVC(카드 보안 코드), 유효기간 등 민감한 결제 정보까지 유출되어 2차 금융 피해 우려가 커지고 있다.
보안 투자에 나름 신경써 왔다는 롯데카드가 8년 전에 알려진 취약점을 누락했다는 점은 제2금융권 전반에 걸쳐 기본적인 보안 점검이 미흡하다는 현실을 투영한다.
국회 정무위원회 소속 강민국 의원실이 금융감독원에서 받은 ‘국내 금융업권 해킹 발생 현황’ 자료에 따르면, 올해 9월까지 금융권 해킹 사고는 총 8건으로 집계됐다.
아이엠뱅크(2월 28일), 케이비라이프생명(5월 16일), 노무라금융투자(5월 16일), 한국스탠다드차다드은행(5월 18일), 하나카드(6월 17일), 서울보증보험(7월 14일), 약사손해보험(8월 3일), 롯데카드(8월 12일) 등에서 해킹 사고가 발생했다.
법인보험대리점 2곳 개인정보 유출(4월), 웰컴금융그룹 계열사 웰릭스에프앤아이대부(8월) 등 금융당국의 직접 관리·감독 대상에 포함되지 않는 사고까지 감안하면 실제 규모는 더 클 것으로 예상된다.
사고의 상당수는 최신 보안 패치 미적용, 접근 통제 소홀, 외주 협력업체 취약점을 통한 본사망 침투 등 기본적 보안 수칙을 지키지 않아 발생한 것으로 알려졌다. 이는 첨단 보안 시스템에 거액을 투자했더라도, 가장 기초적인 곳에 난 구멍 하나가 전체 시스템을 무너뜨릴 수 있음을 입증한다.
해커들은 최신 기술보다 방치된 구식 취약점이 더 쉬운 먹잇감임을 알고 이를 집중적으로 공략하고 있다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
