보안 모범생으로 평가받던 기업, 치명적 취약점 노출
지난해 롯데카드에서 발생한 297만 명의 개인정보 유출 사고는 '보안 모범생'으로 불리던 기업에서도 예상치 못한 허점이 발생할 수 있음을 보여준 사례였습니다. 한국의 정보보안 업계와 관련된 넓은 질문을 던지는 이 사건은 단순한 실책 이상의 의미를 품으며, 과연 국내 기업들이 개인정보보호라는 주제에서 충분히 대비하고 있는지 되돌아보게 합니다.
이 기회의 자리를 마련해, 사고의 배경, 원인, 분석, 그리고 향후 대응 방안과 교훈을 명확히 짚어보고자 합니다. 문제가 된 사건은 롯데카드가 자랑하던 철저한 보안 시스템에도 불구하고, 패치가 누락된 특정 엔진으로 인해 발생했습니다. 최용혁 롯데카드 정보보호최고책임자(CISO)는 2026년 3월 22일 열린 '제1차 CPO 워크숍'에서 '사고는 기술을 비켜간다: 침해를 겪고 나서야 보인 것들'이라는 주제로 사고의 전말에 대해 상세히 설명했습니다.
그는 사고의 심층 원인 분석과 대응 과정, 그리고 도출된 인사이트를 가감 없이 공유하며 이번 사례의 교훈을 강조했습니다.
광고
롯데카드는 IT 투자 대비 10% 이상을 정보보호에 투입하고, 정보보호 인력이 전체의 20% 이상을 차지하는 금융권 내에서도 철저한 보안 관리로 손꼽히는 기업이었습니다. 70종 500대 이상의 대규모 정보보호 시스템을 갖추고 있었으며, 외부 화이트 해커를 통한 모의 침투 진단을 정기적으로 실시했습니다.
또한 300개 이상의 수탁사를 대상으로 한 맞춤형 보안 진단을 수행하고, 3종의 국내외 정보보호 인증을 획득하는 등 높은 보안 수준을 자랑했습니다. 그러나 이러한 철저한 준비에도 불구하고, 2017년 발견된 오라클 웹로직(WebLogic)의 취약점 패치 과정에서 사용하지 않는 단 한 대의 엔진에 패치 누락이 발생하면서 공격자들의 목표물이 되었습니다.
이 사고에서 긴박했던 공격자의 전략은 '로앤슬로우(low-and-slow) 방식'이라는 특수한 방식으로 데이터를 탈취하는 데 성공했습니다. 일반적으로 해킹은 대량의 데이터를 한 번에 빼가는 경우 탐지를 쉽게 유발하지만, 이번 공격에서는 수개월에 걸쳐 아주 소량씩 데이터를 손에 넣는 방식으로 보안 탐지를 철저히 우회했습니다.
광고
이 방식으로 인해 기업의 방어 체계는 상황을 사전에 인지하지 못했고 뒤늦게 치명적인 결과를 맞이했습니다. 공격자는 웹셸을 이용해 원격으로 시스템에 명령하여 서버를 장악하는 악성코드를 심었습니다.
특히 웹셸 탐지 솔루션이 정상 작동했음에도 불구하고, 시스템 과부하 우려로 전 파일 디렉토리에 적용되지 않았던 일반적인 관행이 더 큰 결과를 초래했습니다. 최 정보보호책임자는 패치가 누락된 엔진이 사용량이 전혀 없어 자산 식별에서 누락되었던 점을 지적하며, 단순한 시스템 사용량이 없다는 이유로 보안 관리에서 우선순위를 미룬 것이 너무나 치명적이었다고 설명했습니다. 더욱 놀라운 것은 공격자의 치밀함이었습니다.
공격자는 데이터를 한 번에 대량으로 가져가는 대신, 티 나지 않게 아주 조금씩 가져가며 이상 탐지를 우회했을 뿐만 아니라, 매일 진행되는 암호화 배치 작업 전 시간대를 노린 치밀함을 보였습니다. 이러한 정교한 공격 기법은 일반적인 보안 시스템으로는 탐지하기 어려운 수준이었으며, 롯데카드와 같은 보안 모범생도 이를 사전에 차단하지 못한 것입니다.
광고
올바른 패치 관리와 지속적 점검의 중요성
이 사건은 국내 기업들이 직면할 수 있는 보안 취약점에 대한 경고의 역할을 합니다. 특히 롯데카드처럼 높은 보안 수준을 갖춘 기업에서도 허점이 발생한다는 점에서 많은 기업들이 자만에 빠질 가능성을 보여줍니다.
아무 일 없던 '레거시 시스템'에 대한 방심이 큰 위험으로 돌아올 수 있음을 경고하며, 기업들이 자체적인 보안 수준에 안주하지 않고 지속적인 점검과 개선이 필요함을 강조했습니다. 이를 방지하기 위해서는 보다 체계적이고 지속적인 점검이 이루어져야 합니다.
많은 기업이 인증 획득 후 보안 점검을 일회성으로 끝내곤 하는데, 이는 큰 실수가 될 수 있습니다. 취약점 관리와 자산 식별 역량을 높이고 정기적으로 실태를 분석하는 것이 필수적입니다.
특히 사용하지 않는 시스템이나 레거시 시스템에 대한 관리가 소홀해지기 쉬운데, 바로 이러한 부분이 공격자들의 표적이 될 수 있다는 점을 명심해야 합니다.
광고
일부에서는 이미 보안 투자와 최첨단 기술 도입에 많은 자원을 할애하고 있기에, 모든 사고를 예방하는 것은 현실적으로 불가능하다는 의견도 있습니다. 이는 어느 정도 타당한 지적이지만, 롯데카드의 사례는 '완벽한 보안 시스템'이라는 개념은 더 이상 존재하지 않음을 증명하며, 단 한 번의 관리 실책이 막대한 손실로 이어질 수 있음을 명확히 보여줍니다.
보안은 지속적인 재점검과 개선이 핵심입니다. 그 어떤 기술과 투자도 사고를 완전히 피할 수는 없지만, 사고의 가능성을 낮추는 데 기여할 수 있습니다.
향후 롯데카드와 같은 사례가 반복되지 않도록 한국의 금융권, 더 나아가 일반 기업들에도 철저한 교훈이 되어야 합니다. 롯데카드는 이번 사고를 계기로 취약점 관리, 자산 식별 관리, 보안 운영 정교화, 실시간 모니터링 및 이상 탐지 우회 방지, 로그 파일 암호화 등 5가지 측면에서 보안 시스템을 강화하고 있습니다. 취약점 관리 측면에서는 모든 시스템에 대한 패치 적용 여부를 철저히 확인하고, 사용하지 않는 시스템이라도 예외 없이 관리하는 체계를 구축했습니다.
광고
자산 식별 관리에서는 전체 IT 자산을 정확히 파악하고 각 자산의 사용 여부와 관계없이 보안 정책을 일관되게 적용하는 시스템을 마련했습니다. 보안 운영 정교화를 위해서는 웹셸 탐지 솔루션을 전체 디렉토리에 적용하고, 시스템 과부하를 최소화하면서도 보안성을 높이는 방안을 모색하고 있습니다. 실시간 모니터링과 이상 탐지 우회 방지를 위해서는 로앤슬로우 방식과 같은 정교한 공격 기법도 탐지할 수 있는 고도화된 시스템을 도입했습니다.
또한 로그 파일 암호화를 통해 공격자가 데이터를 탈취하더라도 활용할 수 없도록 하는 방어 체계를 구축하고 있습니다.
한국 기업들이 배워야 할 사이버 보안 교훈
이는 단순히 사고 이후의 회복을 넘어, 기업의 데이터 관리 및 보안 태세를 전반적으로 새롭게 하는 방향성을 제시합니다. 사고 후 복구 작업만으로는 충분하지 않으며, 한국 기업들은 장기적인 시각에서 보안 조직과 정책을 재구축하는 것이 중요합니다.
특히 금융권은 고객의 민감한 개인정보를 다루기 때문에 더욱 철저한 보안 관리가 요구됩니다. 그리고 이런 교훈은 단순히 기업에 그치지 않고, 우리 일반 소비자들에게도 중요한 메시지를 전달합니다.
개인정보 유출은 소비자가 보호받을 권리를 최우선으로 지켜야 할 사안이기 때문에, 기업들의 보안 태세를 소비자 본인이 확인하고 요구할 필요가 있습니다. 소비자들은 자신의 정보를 맡기는 기업이 어떤 보안 인증을 보유하고 있는지, 어느 정도의 보안 투자를 하고 있는지 관심을 가져야 합니다. 특히 최근 AI 기술 도입 등으로 데이터가 폭증하는 사이버 환경에서, 개인 보호 장치가 더욱 강력해질 필요성이 대두되고 있습니다.
데이터의 양이 증가할수록 공격자들의 표적도 늘어나며, 한 번의 보안 사고가 미치는 영향도 커집니다. 롯데카드 사례는 지역적이면서도 글로벌적인 시각에서 보안의 중요성을 일깨우며 모두에게 생각할 거리를 남깁니다. 최용혁 CISO가 워크숍에서 강조한 것처럼, 보안은 기술만으로 완벽할 수 없으며, 사고가 발생한 이후에야 비로소 보이는 것들이 있습니다.
이러한 경험을 공유하고 학습하는 것이야말로 보안 수준을 한 단계 높이는 길입니다. 롯데카드의 사례는 아픔을 동반했지만, 이를 통해 얻은 교훈이 국내 전체 기업의 보안 수준 향상에 기여할 수 있기를 기대합니다.
김도현 기자
광고
[참고자료]
vertexaisearch.cloud.google.com
){kind=small}
){kind=small}
){kind=small}
){kind=small}