[알파경제=이준현 기자] 조좌진 롯데카드 대표이사가 4일 최근 발생한 해킹 사고와 관련해 공식 사과하며 피해 전액 보상을 약속했다.

조 대표는 이날 발표한 사과문에서 "최근 발생한 저희 회사의 사이버 침해 사고로 고객 여러분께 많은 불편과 심려를 끼쳐드린 점 깊이 사과드린다"며 "이번 사태는 회사의 보안 관리가 미흡했던 데서 비롯된 것"이라고 밝혔다.

그는 "고객 개인정보를 관리하는 시스템에 외부 해킹에 의한 침투가 있었다는 것만으로도 변명의 여지가 없다"며 "이번 사고로 발생한 피해에 대해서는 롯데카드가 책임지고 전액을 보상할 것을 약속드린다"고 강조했다.

앞서 롯데카드는 지난달 14일 오후 7시 21분경 최초 해킹 공격을 받았으나 17일이 지난 31일에야 이를 인지해 1일 금융감독원에 신고했다. 해커는 15일까지 이틀간 온라인 결제 서버를 집중 공격했으며, 이 과정에서 약 1.7GB 규모의 내부 자료가 외부로 유출된 것으로 알려졌다.

금감원에 따르면 공격자는 오라클 웹로직의 CVE-2017-10271 취약점을 악용해 악성코드를 감염시킨 뒤 웹셸을 업로드하는 방식으로 침투했다. 이 취약점은 2017년 공개된 것으로, 8년 전 알려진 보안 허점이 그대로 방치돼 있었던 것으로 드러났다.

롯데카드는 26일 정기 서버 점검 중 3개 서버에서 2종의 악성코드와 5종의 웹셸을 발견해 즉시 삭제 조치했다. 31일 정오경에는 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도한 흔적을 추가로 포착했다.
 

금감원은 2일부터 금융보안원과 합동으로 롯데카드 본사에 대한 현장검사에 착수했다.

이찬진 금감원장은 "이번 사고는 금융시장 신뢰를 흔들 수 있는 사안"이라며 "관리 소홀로 인한 보안 사고에 대해서는 엄정히 제재할 것"이라고 경고했다.

롯데카드는 올해 상반기 기준 967만명의 고객을 보유한 신용카드업계 6위 업체로, 신용판매 시장점유율 10.1%를 차지하고 있다.

회사 측은 "현재까지 고객 정보 유출 사실은 확인되지 않았다"면서도 "관계 기관과 외부 전문조사 회사와 함께 상세한 피해 내용 파악에 최선을 다하고 있다"고 밝혔다.

이번 사고는 SK텔레콤 개인정보 유출, SGI서울보증과 웰컴금융그룹의 랜섬웨어 공격에 이어 올해 금융·통신권에서 발생한 또 다른 대규모 보안 사고로, 국가 차원의 사이버 보안 체계 강화 필요성이 다시 부각되고 있다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]