“이러다 연쇄해킹 일어나는 거 아니야?”…카드사들, ‘제2 롯데카드 사태’ 막기 고삐

지속되는 보안사고에 카드사들 분주

롯데카드 대표이사 “정보유출 미확인
전시스템 정밀점검∙예방 작업 수행”

정부 차원 사고 대응 수위도 강화될듯

롯데카드 [사진 출처 = 연합뉴스]

최근 롯데카드에서 사이버 침해 사고가 발생하자, 롯데카드 이용자뿐만 아니라 금융소비자 전방위적으로 불안이 증폭하고 있다. 카드는 일상 속 필수 결제수단으로 개개인의 신상정보와 생활패턴 등이 긴밀히 담겨있는 데다, 혜택을 위해 용도에 따라 다양한 카드를 함께 쓰는 경우가 많아 타 카드사에 연쇄 해킹이 일어날 수도 있단 우려에서다.

15일 카드업계에 따르면 롯데카드는 지난 달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 것을 확인하고, 전체 서버를 점검하는 과정에서 3개 서버에서 악성코드를 발생해 삭제 조치했다. 이후 지난 달 31일 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도한 흔적을 발견해 지난 1일 금융당국에 신고했다. 현재까지 롯데카드 조사 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다.

조좌진 롯데카드 대표이사는 사과문을 통해 “지난 달 온라인 결제 서버에서 외부 해커의 침해 흔적이 발견됐고 즉시 전 시스템에 대한 정밀 점검과 예방작업들을 수행했다”며 “현재 관계 기관 및 외부 전문조사 회사와 함께 보다 상세한 피해 내용 파악에 최선을 다하고 있다”고 밝혔다.

상품별 혜택이 다양한 신용카드 특성상 동일 고객이 여러 카드사에서 용도별 카드를 발급받는 경우가 많은 만큼, 카드 이용자들 사이에선 연쇄 해킹이 일어날 것이란 공포심이 조성되고 있다.

이에 카드사들은 각사별 보안 시스템을 재정비하고 기능을 강화하는 데 전사 역량을 집중시키고 나섰다.

신한카드는 최근 카드사 해킹 사태 이후, 단말·서버 보안설루션에 대한 운영 모니터링 강화, 침입차단 및 침입방지 시스템 운영 강화, 금보원이 발표한 롯데카드 관련 악성코드 점검 진행하고 CVE 취약점에 대한 서버 재점검 등을 진행했다. CVE(Common Vulnerabilities and Exposures)는 소프트웨어나 하드웨어의 보안 취약점을 표준화된 식별자(CVE ID)로 관리하는 체계다.

하나카드는 이번 타사 침해사고를 인지한 즉시 긴급 자체점검을 수행했으며 최근에는 이전부터 운영해왔던 보안관제 모니터링을 더욱 강화해 운영 중이다. 유사 해킹 시도 발생시를 대비해 관계법령 및 규정에 적합한 ‘보안(침해)사고 대응 메뉴얼’을 마련했다.

또한 하나카드는 Zero Trust(아무것도 신뢰하지 않는다) 보안 원칙의 인증강화(네트워크 Microsegmentation 등), 보안 취약점 탐색 고도화, 생체인식(지문 등) 기반의 사내 시스템 인증 방식 고도화 등의 보안 투자 계획을 수립·검토하고 있다.

[사진 출처 = 픽사베이]

NH농협카드도 최근 업계 내 개인정보 유출사고 이후 전면적인 보안점검을 착수했고, 최신 보안패치를 적용하고, 사고 발생시 대응 전략 등을 점검 완료했다.

NH농협카드는 NH농협은행 소속의 카드사로, 은행과 함께 정보보호 시스템을 운영 중이다. 120명 이상의 정보보호 전담 인력을 운영하고 있으며, 최근 3년간 보안 예산을 20% 이상 늘리는 등 관련 투자를 늘리고 있다. 인공지능(AI) 탐지 체계 및 보안자동화를 구축 및 고도화해 위협 탐지 즉시 자동 차단하는 절차를 운영하고 있다.

KB국민카드는 개인정보 침해 사고에 신속하고 효과적으로 대응하기 위해 침해사고 대응반을 운영하고 있다.

KB국민카드는 정보보호본부 아래 정보보호부로 직제 편제돼 있으며, 정보보호본부장은 임원급으로 정보보호최고책임자(CISO), 개인정보보호책임자(CPO), 신용정보관리보호인(CIAP) 업무를 맡고 있다. 정보보호부는 5개팀으로 구성돼 상시적으로 개인정보 및 정보보호와 관련 업무를 수행한다. 정보보호 관련 주요 사항을 심의하고 결정하기 위해 정보보호위원회를 운영하고 있으며, CISO를 중심으로 관련 부서들이 함께 참여해 개인정보보호 주요 정책, 보안 사고 대응, 보안 취약점 조사 및 대응에 대한 안건을 심의 및 의결한다.

BC카드는 전자금융감독규정에 의거해 전자금융기반 시설에 대한 물리적, 기술적 취약 점검을 연 1회 이상 수행하고 있으며, 정보보안 인증 등을 통한 프로세스 및 체계 주기 역시 자체적으로 점검하고 있다. 화이트해커 통한 모의해킹 수행 등 통해 실제 공격자 관점의 점검 수행 등도 상시 진행하고 있다.

우리카드는 전자금융기반시설 및 공개용 홈페이지, 내부 업무시스템 별 대상으로 실시간, 월, 반기 등 주기적 점검 및 취약점 조치 활동을 벌이고 있다. 외부 컨설팅 업체를 통한 점검 및 자체 점검 모두 수행 중이다.

삼성카드와 현대카드 역시 고객 정보 보호를 위해 점검 및 모니터링을 강화하고 있다.

카드업계 관계자는 “최근 일련의 사태로 인해 고객들의 불안이 가중된 것은 이해하지만 대외적으로 ‘최선을 다해 기존 체계를 강화하고 있다’는 식의 원론적 안내밖에 못하고 있는 것은 ‘보안’의 특성 때문”이라며 “해커들이 뉴스 기사를 보고 보안 체계를 유추하거나 표적으로 삼는 경우가 있다”고 설명했다.

[매경AX]

지속 반복되는 보안사고에 정부 차원의 대응도 수위가 높아질 것으로 보인다.

이찬진 금융감독원장은 롯데카드 해킹 피해가 드러난 다음날인 지난 2일 임원회의에서 롯데카드에 전용 콜센터를 운영하고, 카드 부정사용 등 피해 발생 시 피해액 전액을 보상하는 절차를 마련할 것을 지시했다.

이재명 대통령이 지난 4일 서울 용산 대통령실청사에서 열린 수석보좌관회의에서 발언하고 있다. [김호영 기자]

이재명 대통령은 지난 4일 용산 대통령실에서 주재한 수석보좌관회의에서 “보안 사고를 반복하는 기업들에 대해 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 관련 조치를 신속히 준비하라”고 주문했다.

이 대통령은 관계 당국을 향해서도 “혹여 숨겨진 추가 피해가 없는지 선제적 조사를 적극적으로 검토하고, 기업의 보안 역량 강화를 위한 제도 개선에도 힘써주길 바란다”고 거듭 강조했다.

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]