국민의 민감한 개인정보와 돈이 속수무책으로 털리고 있다. 롯데카드에서는 297만명의 개인정보가 유출됐고, 그중 28만명은 카드번호와 비밀번호, CVC까지 포함돼 직접적인 금융자산 피해 위험이 커졌다. KT의 불법 팸토셀(초소형 기지국 장치)을 이용한 소액결제 피해사건도 커져 362명의 피해자와 2억4000만원 규모의 피해가 났다. 개인정보를 빼내는 수준을 넘어 통신망을 직접 겨냥한 개인 금융 범죄로까지 고도화하면서 국민 불안이 커지고 있다.
롯데카드는 당초 1.7GB(기가바이트)의 데이터가 유출됐다고 보고했지만 조사 결과 신고된 것보다 100배가 많은 200GB 규모로 커졌다. 카드결제에 쓰이는 보안정보와 주민등록번호 등 민감정보가 모두 새 나가면서 2차, 3차 피해가 우려된다. 사실상 카드사 전체 시스템이 뚫렸다고 봐야 한다. 더구나 해킹 발생을 인지하는 데만 보름 이상 걸렸다는 점은 관리·감독 체계가 얼마나 구멍투성이였는지 여실히 보여준다. 조좌진 롯데카드 대표가 부정 사용 가능성이 있는 28만명에게 신속한 카드 재발급과 피해 보상을 약속했지만, 이미 금융 신뢰는 크게 흔들린 상태다.
KT 사건에서도 피해자는 기존 집계 278명에서 362명으로 늘었고, 피해액도 1억7000만원에서 2억4000만원으로 확대됐다. 기존 상품권 중심 소액결제를 넘어 교통카드 등 다양한 결제 수단에서도 피해가 발생했다. 불법 펨토셀도 2개에서 4개로 늘어났고 IMSI(가입자식별번호)뿐 아니라 IMEI(단말기고유식별번호), 휴대전화 번호가 유출된 정황이 나왔다. 복제폰 등 2차 피해 가능성까지 염두에 둬야 하는 상황이다.
롯데카드는 당초 1.7GB(기가바이트)의 데이터가 유출됐다고 보고했지만 조사 결과 신고된 것보다 100배가 많은 200GB 규모로 커졌다. 카드결제에 쓰이는 보안정보와 주민등록번호 등 민감정보가 모두 새 나가면서 2차, 3차 피해가 우려된다. 사실상 카드사 전체 시스템이 뚫렸다고 봐야 한다. 더구나 해킹 발생을 인지하는 데만 보름 이상 걸렸다는 점은 관리·감독 체계가 얼마나 구멍투성이였는지 여실히 보여준다. 조좌진 롯데카드 대표가 부정 사용 가능성이 있는 28만명에게 신속한 카드 재발급과 피해 보상을 약속했지만, 이미 금융 신뢰는 크게 흔들린 상태다.
KT 사건에서도 피해자는 기존 집계 278명에서 362명으로 늘었고, 피해액도 1억7000만원에서 2억4000만원으로 확대됐다. 기존 상품권 중심 소액결제를 넘어 교통카드 등 다양한 결제 수단에서도 피해가 발생했다. 불법 펨토셀도 2개에서 4개로 늘어났고 IMSI(가입자식별번호)뿐 아니라 IMEI(단말기고유식별번호), 휴대전화 번호가 유출된 정황이 나왔다. 복제폰 등 2차 피해 가능성까지 염두에 둬야 하는 상황이다.
해킹 수법은 점점 더 정교해지고 있다. 단순 정보 탈취를 넘어 통신망 신호를 가로채고 암호화된 결제 정보를 해독하는 기술까지 활용된다. 가짜 QR코드를 통한 큐싱(Qshing), 결제 정보 탈취, SIM 스와핑 등 다층 공격이 현실화하고 있다. 해커들은 조직적이고 전문적인 집단으로, 광범위한 공격이 진행될 경우 손쓸 수 없을 정도로 피해가 커질 수 있다. 그럼에도 기업과 정부의 대응은 여전히 뒷북치기 일쑤다. 롯데카드는 금융보안원으로부터 ISMS-P 인증을 받은 지 이틀 만에 해킹 공격을 당했다. 정부 감독체계 자체가 상당히 허술하고, 인증 제도는 있으나마나라는 얘기다. 기업들 또한 보안을 가욋일로 여기고 투자에 소극적이다.
디지털 경제의 핵심인 전 금융·통신권을 대상으로 보안을 강화하고, 개인 인증 절차를 더 단단히 하는 것은 필수다. 나아가 금융보안과 통신보안, 사이버 범죄 대응을 유기적으로 연결하는 범정부 차원의 공조 체계와 보안역량 수준을 더욱 높여야 한다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.