CVC 번호 유출 롯데카드 해킹…'원격취약점·웹쉘 복합공격' 추정

김민석 기자 2025. 9. 18. 16:32
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

회원 960만 명을 보유한 롯데카드의 해킹 피해 데이터 규모가 첫 신고의 100배인 200GB(기가바이트)에 육박하는 것으로 확인됐다.

전문가들은 공격자가 해당 취약점을 통해 특정 시기 롯데카드 온라인 결제 서버(WAS)에 침투한 후 올해 8월14일~27일 기간 중 웹쉘을 설치해 서버 관리자 권한을 확보했을 것으로 추정하고 있다.

닫기
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
8년전 취약점 서버침투·올해 8월 웹쉘설치 데이터 탈취 분석
코드제거 등 공격 흔적지우기 수법…장기 장악 목표 가능성

롯데카드 해킹 피해 관련 제미나이 2.5프로 플래시 이미지 생성 요청 이미지

롯데카드 해킹 피해 관련 제미나이 2.5프로 플래시 이미지 생성 요청 이미지

(서울=뉴스1) 김민석 기자 = 회원 960만 명을 보유한 롯데카드의 해킹 피해 데이터 규모가 첫 신고의 100배인 200GB(기가바이트)에 육박하는 것으로 확인됐다. 카드번호는 물론 유효기간, CVC번호까지 탈취한 해커의 공격 수법에 관심이 모인다.

전문가들은 2017년 공개된 오라클 웹로직 서버 취약점 침투 후 '웹쉘'(악성스크립트 파일)을 설치하는 등 지능형 지속 위협(APT) 수법일 가능성이 높다고 분석했다.

18일 금융보안 업계에 따르면 롯데카드 해킹 사태에 사용된 것으로 추정되는 'CVE-2017-10271'은 오라클 웹로직 서버의 원격 코드 실행 취약점이다.

인증 없이 특수 조작된 XML 데이터 전송으로 서버를 완전히 장악할 수 있는 치명적 취약점으로 2017년 패치가 제공됐다.

전문가들은 공격자가 해당 취약점을 통해 특정 시기 롯데카드 온라인 결제 서버(WAS)에 침투한 후 올해 8월14일~27일 기간 중 웹쉘을 설치해 서버 관리자 권한을 확보했을 것으로 추정하고 있다.

금융보안 전문가는 "CVE-2017-10271 취약점 공격 난도는 낮지만, 성공하면 서버 내 시스템을 완전히 장악할 수 있다"며 "이 취약점을 이용한 웹쉘, 랜섬웨어, 암호화폐 채굴 악성코드 유포 등이 가능하다"고 말했다.

APT 공격은 '초기침해-거점확보-권한확대-내부정찰-임무완수' 단계로 오랜 기간 흔적을 감추면서 내부 시스템을 정찰하고 정보를 탈취하는 방식이다.

웹쉘은 해커가 원격으로 웹서버를 제어할 수 있는 악성코드로 일반적인 웹 서비스 포트(80·443)를 통해 공격이 이뤄져 탐지가 까다로운 것으로 알려졌다.

보안업계 관계자는 "웹셀을 통해 내부 네트워크를 탐색하며 온라인 결제 서버 핵심 데이터에 접근한 것으로 보인다"며 "공격자가 정상 업무로 위장하는 식으로 은밀하게 활동하면서 탐지가 늦어졌을 것"이라고 진단했다.

회원 960만 명을 보유한 롯데카드의 해킹 피해 규모가 초기 추정보다 100배 더 큰 것으로 알려지면서파장이 커지고 있다. 18일 금융권에 따르면 금융감독원, 금융보안원이 파악한 롯데카드 해킹 사고로 유출된 데이터는 200기가바이트(GB) 수준인 것으로 알려졌다. ⓒ News1 김초희 디자이너

회원 960만 명을 보유한 롯데카드의 해킹 피해 규모가 초기 추정보다 100배 더 큰 것으로 알려지면서파장이 커지고 있다. 18일 금융권에 따르면 금융감독원, 금융보안원이 파악한 롯데카드 해킹 사고로 유출된 데이터는 200기가바이트(GB) 수준인 것으로 알려졌다. ⓒ News1 김초희 디자이너

전문가들은 랜섬웨어 공격의 일반적인 체류시간이 평균 72.75일(FireEye 보고서)로 일반적인 사이버 공격 체류시간(56일) 대비 장기간인 점을 고려할 때 이번 사태도 단순 데이터 탈취를 넘어 시스템 장기 장악을 목표로 한 복합 공격일 수 있다고 분석했다.

롯데카드 데이터 유출 규모가 당초 1.7GB에서 200GB로 100배 급증한 이유를 두고 APT 공격의 특성상 초기 파악이 극도로 어렵기 때문이라고 설명했다.

보안업계 관계자는 "APT 공격은 여러 서버에 분산해 데이터를 탈취·저장하고 코드 제거 작업 등으로 공격 흔적을 지우는 치밀함을 보인다"며 "최근 랜섬웨어 그룹들이 자주 사용하는 수법"이라고 말했다.

ideaed@news1.kr

<용어설명>

■ APT
Advanced Persistent Threat(지능형 지속 위협). 특정 목표를 대상으로 장기간에 걸쳐 은밀하고 지속적으로 수행되는 고도화된 사이버 공격. 단순한 해킹이 아닌, 조직적인 공격 주체가 다양한 기술과 방법을 동원해 목표 달성을 시도하는 것이 특징이다.

■ 웹쉘
웹쉘(Web Shell)은 공격자가 웹 서버 취약점을 악용해 서버에 업로드하는 악성 스크립트 파일로 웹 페이지를 통해 원격에서 명령을 실행할 수 있게 하는 악성 코드다. 웹쉘은 서버 사이드 스크립트 언어(PHP·ASP·JSP·ASPX 등)로 만들어지고 일반적으로 웹 사이트의 정상 포트를 통해 업로드된다.

■ CVE-2017-10271
CVE-2017-10271은 오라클 WebLogic Server의 치명적인 원격 코드 실행(Remote Code Execution·RCE) 취약점으로 인증되지 않은 외부 공격자가 특수하게 조작된 XML 데이터를 서버에 전송하면 서버를 완전히 장악할 수 있는 취약점이다.

Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.

뉴스1에서 직접 확인하세요. 해당 언론사로 이동합니다.