 |
| 롯데카드 본사 모습. (사진=연합뉴스) |
[알파경제=이준현 기자] 롯데카드가 최근 발생한 해킹 사고와 관련해 970만 고객을 대상으로 24시간 상담창구를 운영하고 부정사고 발생 시 선보상하기로 했다.
롯데카드는 2일부터 고객센터에 개인정보 유출 가능성 문의를 전담하는 ARS 상담사 연결 번호를 신설하고 24시간 대응에 나서고 있다고 3일 밝혔다.
고객은 고객센터 전화 후 1번(개인회원) - 9번(개인정보 유출 가능성 관련 문의)을 눌러 전담 상담사와 연결할 수 있다.
비밀번호 변경, 재발급, 탈회와 관련한 문의 대응을 위해 고객센터를 오후 10시까지 연장 운영 중이며, 당분간 영업시간 외 운영을 유지할 계획이다.
롯데카드는 국내외 사전·사후 모니터링 강화 등 이상금융거래 모니터링을 한층 강화해 운영하고 있다고 밝혔다. 침해사고로 인한 부정 사용 발생 시 선보상을 통해 금융소비자 피해가 없도록 할 방침이다.
이번 해킹 사고는 지난달 26일 롯데카드가 서버 점검 중 특정 서버에서 악성코드 감염 사실을 확인하면서 시작됐다. 전체 서버 정밀조사 결과 3개 서버에서 2종의 악성코드와 5종의 웹쉘을 발견해 즉시 삭제 조치했다.
특히 지난달 31일 정오쯤에는 온라인 결제 서버에서 외부 공격자가 자료 유출을 시도한 흔적이 발견돼 롯데카드가 1일 금융당국에 신고했다. 공격자는 오라클 웹로직의 CVE-2017-10271 취약점을 악용해 악성코드를 감염시킨 뒤 웹쉘을 업로드한 것으로 알려졌다.
이를 통해 내부 결제 시스템 자료 약 1.7GB가 외부로 유출된 정황이 확인됐지만, 현재까지 고객 개인정보의 실제 외부 유출이나 랜섬웨어 감염은 확인되지 않았다고 롯데카드 측은 설명했다.
해킹에 악용된 취약점은 2017년에 공개된 것으로, 약 8년 전부터 알려진 보안 위험이었다. 보안 전문가들은 이번 사고가 기본적 보안 관리 소홀을 보여주는 사례라고 지적하고 있다.
금융감독원은 이번 사고를 계기로 주기적으로 시행해온 블라인드 모의해킹 훈련을 대폭 강화하기로 했다. 금감원은 금융보안원과 함께 4일부터 10월 31일까지 전 금융권을 대상으로 화이트해커를 통한 블라인드 모의해킹 훈련을 진행한다.
기존 1주였던 훈련 기간을 2개월로 늘렸고, 훈련 대상도 지난해 은행·보험·증권·카드 등 4개 권역에서 캐피털, 저축은행, 상호금융, 전자금융 등까지로 확대했다.
롯데카드 관계자는 "이번 침해 사고로 심려와 불편을 드린 점에 대해 깊이 사과드린다"며 "이상 금융거래 모니터링을 강화하고 소비자 피해를 예방하기 위해 모든 역량을 집중하겠다"고 말했다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
