해커가 노린 건 따로있다? 보안전문가 "롯데카드 진짜 큰일난 이유는"

YTN라디오(FM 94.5) [YTN 뉴스FM 슬기로운 라디오생활]

□ 방송일시 : 2025년 9월 19일 (금)

□ 진행 : 박귀빈 아나운서

□ 출연자 : 임종인 고려대 정보보호대학원 명예교수

* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기를 바랍니다.

◆ 박귀빈 아나운서(이하 박귀빈) : 회원 960만 명을 보유한 롯데카드의 해킹 피해 파장 커지고 있습니다. 피해 규모는 297만 명에 달하고요. 이 중에서 28만 명의 경우는 부정 사용 가능성이 있는 걸로 드러났죠. SK 해킹부터 KT 소액결제 해킹 그리고 이번에는 카드사 해킹까지 통신사 해킹도 정말 심각한데 이번에 신용카드 해킹은 2차 피해가 더 클 수 있어서 우려가 나오고 있습니다. 사이버 보안 정말 이대로 괜찮은 건지 전문가와 이야기 나눠보겠습니다. 고려대 정보보호대학원 임종인 명예교수 전화 연결합니다. 교수님 안녕하세요?

◇ 임종인 고려대 정보보호대학원 명예교수(이하 임종인) : 안녕하세요. 임종인입니다.

◆ 박귀빈 : 저희가 계속 1년에 계속 연이어서 발생하는 것 같아요. SKT, KT 이번에는 롯데카드입니다. 교수님 혹시 한 번이라도 피해를 입은 적 있으세요? 본인이 피해자가 된?

◇ 임종인 : 저는 다행히 없습니다. 근데 이번에도 국민들한테 큰 충격을 계속 주는 사건이 일어나고 있는데요. 해킹 해커들의 정체 그리고 해커들의 해킹 목적 이런 것을 잘 보고 그것에 대해서 적절히 대응해야 되는데 너무 일반적으로 대응을 하고 그래서 국민들이 더 불안해하는 것 같습니다.

◆ 박귀빈 : 맞습니다. 불안합니다. 저 같은 경우는 지난번에 이통사 해킹 때도 제가 쓰고 있던 이통사에서 그런 일이 있어서 저도 정보가 그때 유출됐었고 이번에 롯데카드 같은 경우는 저도 피해자이다 보니 관련해서 아무래도 굉장히 불안합니다. 그래서 아마 많은 분들이 저랑 같은 마음이실 거기 때문에 제가 여쭤볼게요. 특히 이번 같은 경우는 28만 명 같은 경우는 굉장히 심각하게 많은 정보가 유출됐다 이런 기사가 나옵니다. 그래서 부정 사용까지 가능할 수 있다 그러던데 어떤가요? 진짜 그럴 수 있을까요?

◇ 임종인 : 그러니까 지금 전체적으로 297만 명 정보가 나간 것도 문제지만 그 결제 서버가 틀려서 28만 3천 명의 경우에는 카드 번호 그다음에 유효기간 이것까지 전부 나갔다고 하니까 그 더군다나 이것이 암호화도 제대로 돼서 안 돼서 나갔다고 하니까 이게 정말 부정 사용이 가능한 거기 때문에 충격을 주고 있는데 또 하나의 문제는 어제도 얘기 나왔지만 이번에 해킹이 대단한 고도의 기법을 이용한 것도 아니고 이 취약점은 2017년에 이미 지적이 된 거예요. 2017년에 지적이 됐는데 그것이 8년 동안 패치가 안 되고 방치돼 있었다는 거 이게 충격입니다.

◆ 박귀빈 : 일단 온라인 결제 정보 비롯해서 정말 카드 정보 많이 유출됐다고 하면 이게 피해 고객 입장에서는 일단은 당장 내가 뭘 해야 될까가 가장 궁금하실 것 같거든요. 저 같은 경우는 이게 앱으로 보니까 들어가서 내가 얼마나 내 정보가 유출됐나 확인이 가능하고 그럼 어느 정도가 유출됐다 나옵니다. 그리고 거기에 선택을 할 수 있어요. 카드 재발급할 것이냐 그래서 저는 제가 재발급을 신청을 했습니다. 현재 거는 정지시키고 일단 이거 하면 괜찮습니까?

◇ 임종인 : 일단은 그거 하나면 1차적으로 피해를 막을 수 있죠. 그런데 카카오가 지금 활동한 게 보면 여러 보도가 있지만 가장 한 거는 7월 22일날 들어와서 8월 26일까지 활동을 했다고 그러거든요. 그러면서 297만 명의 기자 특히 이 28만 명의 경우에는 어제 그 롯데카드 대표가 얘기한 대로 아직 피해 입은 사람은 없어요. 안타까운 거는 진짜 아까 말씀드린 것처럼 우리 기본에 충실한 말이 있는데 2017년에 드러난 그 사이버 취약점은 이게 10점 만점에 9.8로 굉장히 심각한 취약점이니까 즉시 패치하라고 경고가 나왔거든요. 그런데 이거 8년째 패치를 안 하고 방치했다는 거 이건 정말 기본이 안 된 겁니다.

◆ 박귀빈 : 그동안 이 카드사가 고객의 굉장히 아주 예민한 금융 정보 개인 정보를 갖고 있으면서 그걸 제대로 보안 체계를 안 만들었다는 말씀이신 거잖아요?

◇ 임종인 : 그렇죠 이걸 갖다가 8년째 이걸 다른 어떤 외국의 금융기관이나 신용평가기관에서 똑같은 취약점 갖고 많이 당했거든요. 그럼 남들이 당하는 걸 보면 우리도 저거 제대로 돼 있는 거야 이렇게 생각해 가지고 패치를 했어야 되는데 8년째 방치 안 하고 있다. 그러니까 일부에서 정보보호 조직이 적었니 예산이 적었느니 이런 거 많이 지적하잖아요. 근데 그거 문제가 아니라 기본이 안 된 거죠. 이게 10점 만점에 9.8로 굉장히 위급한 어떤 취약점이다 라고 경고가 8년 전에 나온 건데 이거를 패치를 안 했다니 그러면 롯데카드가 기본이 안 된 거죠.

◆ 박귀빈 : 다른 카드사 다른 금융권 같은 경우는 그런 것들 지금 보안 투자를 잘 하고 있다고 봐야 될까요? 그러니까 제가 여쭤보고 싶은 건 그런 거를 정기적으로 정부의 어떤 부처에서 점검을 한다거나 그런 게 없습니까?

◇ 임종인 : 그러니까 원래는 해야 되죠. 이번에도 참 어떻게 보면 한심한 게 우리 ISMS-P라고 있거든요. 그게 예 우리 보안하고 관련된 키사라든지 아니면 금융보안원 이런 데서 제대로 하고 있는지 인증을 해주는 거예요. 그런데 이게 8월 12일 날 인증을 해줬거든요. 인증을 해줬는데 그때가 벌써 해커가 이미 해킹 했을 때거든요. 근데 그러면 도대체 인증은 인증이라는 게 뭐하러 필요가 있습니까?

◆ 박귀빈 : 인증 기관이 어딘가요?

◇ 임종인 : 국가기관이죠. 그게 거의 형식적으로 있었다는 거지 않습니까?

◇ 임종인 : 예 그러니까 이게 아마도 인증을 그냥 서류상으로 체크리스트 식으로만 했지 구체적으로 제일 위험한 부분들에 있어서 제대로 이걸 대응하고 있는지 기술적 검토를 제대로 안 했다는 얘기니까 요즘에 보면 인증 받고도 자꾸 뚫리니까 인증 무효론 같은 게 나오거든요. 그래서 우리가 국가적으로 사이버 보안 체계를 특히 이러한 통신, 금융, 전력 이런 것들이 국가 기본 인프라인데 이것들이 위험해지면 정말 우리나라 전체적으로 특히 요즘에 AX 그래서 AI 대전환 얘기를 하잖아요. 그러면 만약에 사이버 보안이 뚫리면 그때는 사람이 하는 게 아니라 AI가 전체적으로 어떻게 보면 자율적으로 이게 전체 사회를 움직이고 있는데 AI가 해킹 당하면 어떻게 됩니까? 그러면 정말 더 큰 문제이기 때문에 이제라도 우리가 진짜 AI 3대 광고 얘기하는데 그건 이 사이버 보안 체계를 갖다가 우리 대통령께서 앞장서셔서 전체적으로 관련된 법도 만들고 사이버 안보법 만들고 사이버 안보 차원에서 이거를 제대로 접근하지 않으면 굉장히 큰일이 날 거라고 생각하고 있습니다.

◆ 박귀빈 : 그러니까 보안 투자 소홀히 했다는 지적 계속 나오고 있습니다. MBK 파트너스가 롯데카드 인수하면서 보안 관련 비용을 줄였다 이런 의혹도 있고 지금 교수님이 말씀하셨던 것이 결국 패치 처리 안 한 부분도 보안 비용 아끼려고 한 거잖아요?

◇ 임종인 : 그렇죠. 그런데 2017년 얘기니까 MBK가 인수하기 전부터 문제가 있었던 거예요. 그러니까 결과적으로 이게 전체적으로 이번 롯데카드만의 문제인지 우리 사회 전체의 문제인지 모르지만 이게 제대로 항상 기본에 충실하고 그러는데 그렇게 위험도 10점 만점에 9.8로 어전트한 굉장히 위급한 패치라고 얘기했는데 그거를 안 한 그 당시 조직원들은 뭐했는지 그리고 그 이후에 7년이라는 세월이 지났는데 8년이 지났는데 아직까지 안 했다고 하면 그 후에 인원들은 도대체 했던 건지 정말 저는 화가 납니다.

◆ 박귀빈 : 2017년에 지적받은 그 카드사가 당시에 롯데카드 말고도 다른 카드사도 있었나요?

◇ 임종인 : 전 세계적으로 이건 공통적으로 우리가 아파치 스트럿츠 웹 서버라고 그래가지고요. 이게 기본적으로 금융권에서 다 사용하는 거예요. 다 사용하는 일종의 플랫폼인데 거기에 그 당시 시스코라고 유명한 회사 있지 않습니까? 시스코에서 2017년 3월에 우리가 중대한 해커가 원격으로 조정할 수 있는 취약점을 발견했다. 이거 그대로 놔두면 큰일 난다고 해서 취약점 발표하면서 바로 해체할 수 있는 고칠 수 있는 업데이트를 발표했어요. 그러면 그걸 보고 즉시 업데이트 했으면 이번 사건 안 일어났습니다. 그런데 그 당시에도 안 했고 그 후에 굉장히 담당자가 많이 바뀌었을 텐데 어떤 담당자도 이걸 해체를 안 한 거예요. 그러다 보니까 이번 해커는 고대의 수법을 사용한 것도 아니고 소위 스캔이라고 그래가지고 쫙 스캔으로 돌려가지고 아 여기서 무슨 취약점이 있는가 봤더니 어 얘네가 2017년 거를 아직도 패치를 안 했네? 그러니까 그걸로 그냥 들어와 가지고 원격 실행 코드 소위 백도어라고 있지 않습니까? 백도어를 갖다가 5개나 넣어놓고 백도어를 통해서 들어와 가지고 그냥 각종 정보 다 빼간 겁니다.

◆ 박귀빈 : 그러니까 2017년 그 이후에 모든 금융사 카드사 포함하여 예민한 고객 정보 갖고 있는 모든 기관은 그 당시에 패치 포함하여 굉장한 강력한 보안 체계를 준비했어야 되는데 롯데카드에서 이번에 이런 일이 발생했고 그 당시에 준비를 제대로 했는지 다른 금융사 같은 경우도 지금 알 수는 없다는 말씀이신 거죠?

◇ 임종인 : 그렇죠 지금 다시 한 번 다 봤고 그리고 2017년 이후에도 이게 지금 취약점이 1년에도 수십 개씩 발견되거든요. 그 중에서 심각한 거는 몇 개씩 있죠 그래서 이번 기회에 우리가 그걸 제대로 했는지 전체 점검을 해봐야 되는 그런 상황입니다.

◆ 박귀빈 : 그렇습니다. 지난번에 SKT 사태 터졌을 때 개인정보보호위원회에서 1300억 원 넘는 과징금 부과했었거든요. 그리고 이번에 KT 소액결제 해킹 사고 그리고 롯데카드가 지금 연이어 일어난 건데 지금 KT 특히 롯데카드 어느 정도의 과징금 벌금 부과될 걸로 예상하세요?

◇ 임종인 : 대개 매출액의 3%까지 최대한 때려요. 그러다 보니까 롯데카드 기업 같은 경우에는 대충 2조에서 2조 5천억 정도의 매출을 올리고 있거든요. 그리고 특히 이게 연이어 이런 사고가 터지니까 대통령께서 이게 특별히 강하게 처벌하라고 이렇게 말씀을 하셨기 때문에 최대 50억 정도까지 때리는데 문제는 벌금 때린다고 될 게 아니고 전체적으로 이렇게 강력하게 사이버 보안을 할 수 있는 소위 사이버 보안 책임자가 회사 내에서 지위가 높아야 사장한테 이거 안 하면 안 됩니다. 그렇게 강력하게 얘기할 수 있는 체계가 있어야 되거든요. 그런데 대개는 그런 권한이 없는 경우가 많아서 우리 KT 같은 경우에도 그렇고 SKT 같은 경우도 그렇고 근데 아까 제가 처음 얘기한 것처럼 SKT 같은 경우에는 애당초 해커가 그때도 유신 바꿔주고 온통 우리 나라가 시끄러웠는데 아무 일도 없었죠? 그 당시 그거는 그 당시 해커의 목적이 우리나라의 사이버 스파이 행위를 하려고 하는 국가 단위의 해커들이었어요. 그렇기 때문에 목적이 다른 거예요. KT 같은 경우에는 해킹이라고 막 시끄러웠는데 저는 그거 딱 보고 이거는 진짜 해킹이라고 하기도 부끄러운 어떻게 보면 몇몇 어떤 협력자들 협력회사나 직원 등등 해가지고 이게 공모해 가지고 몇 억 빼돌린 그런 사기 범죄 비슷한 거지 고도의 해커도 아니었어요.

◆ 박귀빈 : 알겠습니다. 어떤 말씀이신지 오늘 교수님이 하신 말씀에 답답한 게 너무 느껴졌고 어떻게 해야 될지를 고민해야 되겠구나 그것 같이 저도 느꼈는데요. 개인 소비자 뭐하면 좋겠습니까? 일단 롯데카드 피해자들 개인 소비자 뭐해야 될까요?

◇ 임종인 : 일단은 비밀번호 바꾸고 그다음에 특히 28만 3천 명의 경우에는 즉시 카드 재발급 받고 그게 우선적인 겁니다.

◆ 박귀빈 : 알겠습니다. 오늘 말씀 여기까지 듣겠습니다. 임종인 고려대 정보보호대학원 명예교수였습니다. 고맙습니다.

YTN 이시은 (sieun0805@ytnradio.kr)

[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]