2025년 8월 14일, 롯데카드의 온라인 결제 서버가 해킹당하면서 약 297만 명의 회원 정보가 유출되는 대형 사건이 발생했습니다. 초기 보고된 유출 규모는 1.7GB였으나, 실제로는 200GB에 달하는 데이터가 외부로 반출된 것으로 확인되었습니다. 이 글에서는 사건의 개요, 피해 범위, 유출된 정보, 원인, 대응 조치 및 문제점에 대해 자세히 살펴보겠습니다.
- 사건 개요
- 해킹 발생 및 초기 대응
- 유출 데이터의 심각성
- 피해 범위
- 회원 수 및 시장 점유율
- 데이터 유출 규모
- 유출 항목
- 포함된 정보의 종류
- 사건 원인
- 해킹 경로 및 방법
- 대응 조치
- 즉각적인 보안 조치
- 고객을 위한 보상
- 문제점
- 지연된 대응
- 정보 공개의 불투명성
- 반복되는 개인정보 유출
- 결론
- 자주 묻는 질문
- 질문1: 해킹 사건의 정확한 발생일은 언제인가요?
- 질문2: 유출된 데이터의 양은 얼마나 되나요?
- 질문3: 롯데카드는 어떤 보상 조치를 시행하나요?
- 질문4: 해킹 원인은 무엇인가요?
- 질문5: 유출된 정보에는 어떤 내용이 포함되나요?
- 질문6: 롯데카드는 앞으로 어떤 대책을 세울 계획인가요?
- 함께보면 좋은글!
사건 개요
해킹 발생 및 초기 대응
2025년 8월 14일 오후 7시 21분경, 롯데카드의 온라인 결제 서버에 대한 해킹이 발생했습니다. 사건 발생 이틀 후인 8월 15일에는 내부 파일이 외부로 유출되는 상황이 이어졌습니다. 이후 금융당국에 신고되었으나, 조사 결과 실제 유출된 데이터는 훨씬 큰 규모인 200GB로 드러났습니다.
유출 데이터의 심각성
유출된 데이터에는 카드번호, 유효기간, CVC 코드 등 민감한 정보가 포함되어 있어 고객들의 부정 사용 위험이 커지게 되었습니다. 전체 회원의 약 31%에 해당하는 297만 명의 정보가 유출된 것은 심각한 보안 문제를 나타냅니다.
피해 범위
회원 수 및 시장 점유율
롯데카드는 상반기 기준으로 약 960만 명의 회원을 보유하고 있으며, 시장 점유율은 약 10%입니다. 이번 사건으로 인해 유출된 회원 수는 총 297만 명에 달하며, 이는 전체 회원의 약 31%에 해당합니다.
데이터 유출 규모
유출된 데이터 용량은 약 200GB로, 이는 책 1,500권 분량에 해당합니다. 초기 발표된 1.7GB와 비교했을 때, 유출 데이터의 양이 매우 방대함을 알 수 있습니다.
유출 항목
포함된 정보의 종류
조사 결과, 유출된 정보에는 다음과 같은 항목들이 포함된 것으로 확인되었습니다:
– 연계정보(CI)
– 주민등록번호
– 가상 결제코드
– 내부 식별번호
– 간편결제 서비스 종류
– 카드번호, 유효기간, 보안코드(CVC) (28만 명의 고객 대상)
사건 원인
해킹 경로 및 방법
해킹 사건은 Oracle WebLogic의 취약점을 악용한 것으로 보입니다. 해커는 웹셸을 업로드하여 결제 서버에 저장된 정보를 압축하여 외부로 반출하는 작업을 진행했습니다. 이후 8월 26일에는 서버 점검 중 악성코드와 웹셸이 발견되어 추가 공격의 가능성이 커졌습니다.
대응 조치
즉각적인 보안 조치
롯데카드와 관련 기관은 사건 발생 직후 다음과 같은 조치를 취했습니다:
– 악성코드 및 웹셸 즉시 삭제
– 서버 보안 패치 적용
– 금융감독원 및 KISA에 공식 신고
– 외부 전문 조사업체를 통한 정밀 조사 착수
– 유출 고객 전원에게 무이자 10개월 할부 보상 및 피해 발생 시 전액 보상 방침 수립
고객을 위한 보상
롯데카드는 유출된 고객을 대상으로 무이자 할부 보상을 제공하고, 사이버 보험을 가입하여 추가 피해를 보장하겠다고 발표했습니다.
문제점
지연된 대응
해킹 사건은 8월 14일에 발생했지만, 최초 인지는 8월 26일에 이루어졌으며, 금융당국에 신고된 것은 9월 1일로 이로 인해 17일간의 대응 지체가 있었습니다.
정보 공개의 불투명성
초기 발표된 유출 규모 1.7GB와 실제 200GB 간의 차이를 숨기다 금감원 조사 후에야 사실을 인정한 점은 신뢰성에 큰 타격을 주었습니다.
반복되는 개인정보 유출
롯데카드는 2014년에도 대규모 개인정보 유출 사건을 겪었던 이력이 있어, 근본적인 보안 체계 개선이 이루어지지 않았다는 비판을 받고 있습니다.
결론
이번 롯데카드 해킹 사건은 금융권의 보안 취약성을 여실히 드러낸 사례로, 고객 정보 보호 및 보안 체계 개선이 시급히 필요함을 보여줍니다. 앞으로 이러한 사건이 반복되지 않도록 보다 철저한 보안 대책이 마련되어야 할 것입니다.
자주 묻는 질문
질문1: 해킹 사건의 정확한 발생일은 언제인가요?
해킹 사건은 2025년 8월 14일에 발생했습니다.
질문2: 유출된 데이터의 양은 얼마나 되나요?
처음에 발표된 유출 데이터는 1.7GB였으나, 실제로는 약 200GB의 데이터가 유출되었습니다.
질문3: 롯데카드는 어떤 보상 조치를 시행하나요?
유출된 고객에게 무이자 10개월 할부 보상 및 피해 발생 시 전액 보상 방침을 수립했습니다.
질문4: 해킹 원인은 무엇인가요?
Oracle WebLogic의 취약점을 악용하여 해킹이 발생했습니다.
질문5: 유출된 정보에는 어떤 내용이 포함되나요?
주민등록번호, 카드번호, 유효기간, CVC 코드 등의 민감한 정보가 포함되어 있습니다.
질문6: 롯데카드는 앞으로 어떤 대책을 세울 계획인가요?
보안 체계 개선과 고객 정보 보호를 위해 추가적인 조치를 마련할 계획입니다.
이전 글: 전입신고와 확정일자 받는 방법