어디 가서 아는 척
할 수 있도록
미스터동의 [쉽게 맥락을]

KT 소액결제 범인 잡혔는데
롯데카드에서도 해킹 사고가?

최근 KT와 롯데카드에서 연이어 터진 대규모 해킹 소식에 ‘내 정보는 정말 괜찮은 걸까?’ 하는 불안감이 커지고 있죠.

승합차에 가짜 기지국을 싣고 다니며 돈을 빼간 일당이 잡혔다는 소식에 안도하기도 잠시, 이번엔 롯데카드에서 대한민국 국민 수백만 명의 정보가 통째로 유출됐다는 충격적인 소식이 들려왔습니다.

최근 주요 해킹 사고

• 4월 SK텔레콤 2,324만 4,000여 명 개인정보 유출
  
• 6·8월 예스24 랜섬웨어 공격
  
• 7월 SGI서울보증 랜섬웨어 공격
  
• 8월 웰컴금융그룹 랜섬웨어 공격
  
• 8월 KT 5,561명의 가입자식별번호 유출 및 무단 소액결제 피해
  
• 8월 롯데카드 악성코드 감염, 유출 및 피해 규모 파악 중

KT 소액결제
범행 수법이 더 자세히 나왔나요?

이번 KT 해킹 사건은 그 수법이 국내에서는 처음 적발된 사례라 더 충격적입니다.

범인들은 펨토셀¹이라는 초소형 기지국 장비를 불법으로 개조해서 승합차에 싣고 다녔습니다. 그리고 지난 8월 말부터 9월 초까지 경기 광명시 소하동, 서울 금천구 등 수도권 일대를 돌아다녔죠.

가짜 기지국이 진짜 KT 기지국인 것처럼 신호를 쏘면, 반경 20~30m 안에 있던 KT 이용자들의 휴대전화가 자신도 모르게 여기에 접속하게 되는 원리입니다.

일단 접속이 이루어지면, 범인들은 가입자식별번호(IMSI)와 단말기식별번호(IMEI)² 같은 휴대전화의 고유 정보를 탈취했습니다. 이 정보를 이용해 모바일 상품권을 구매하거나 교통카드를 충전하는 방식으로 수십만 원씩 소액결제를 일으킨 겁니다.

KT에 따르면, 범인들이 사용한 불법 펨토셀은 총 4개로 확인됐습니다.

사실 이런 범죄는 해외에서는 이미 여러 차례 있었는데요. 지난 4월 일본 도쿄와 태국 방콕에서도 차량에 불법 기지국을 싣고 다니며 스미싱 문자를 대량으로 보낸 조직이 검거되기도 했습니다.

잡힌 사람들은 누구고
피해 규모는 정확히 얼마예요?

경찰은 사건 발생 12일 만인 지난 16일, 용의자 두 명을 체포했습니다.

주범 격인 A(48세)는 인천국제공항으로 입국하다가, 소액결제를 현금화한 공범 B(44세)는 서울 영등포구에서 각각 붙잡혔습니다.

둘 다 중국인으로, 국내에서는 합법적으로 체류하며 일용직으로 일해왔다고 하는데요.

놀라운 점은 이들이 서로 모르는 사이라고 진술했다는 겁니다.

특히 A는 경찰 조사에서 “중국에 있는 윗선 지시를 받고 범행했다”며 “나도 시키는 대로 했다”고 말했는데요.

이 때문에 단순한 개인 범죄가 아니라, 중국에 본거지를 둔 거대 조직이 배후에 있을 가능성이 매우 커졌습니다.

• 경찰(9월 15일 기준) : 피해자 199명, 피해액 1억 2,600만 원.
• KT 공식 발표(9월 18일) : 피해자 362명, 피해액 2억 4,000만 원으로 최종 집계.

단순히 돈만 빠져나간 게 아닙니다. 불법 기지국 4곳을 통해 총 2만 30명의 가입자식별번호(IMSI), 기기식별번호(IMEI), 휴대폰 번호가 유출된 정황도 추가로 확인됐습니다.

다만 KT는 유심 복제에 필요한 인증키는 유출되지 않아 복제폰 생성 가능성은 없다고 선을 그었습니다.

롯데카드는 왜, 어떻게
뚫린 건가요?

롯데카드의 경우는 KT와는 차원이 다른 문제입니다.

외부에서 물리적으로 정보를 빼간 게 아니라, 회사 내부의 온라인 결제 서버가 해킹으로 완전히 뚫린 겁니다.

사건의 발단은 지난 8월 14일로 거슬러 올라갑니다. 해커는 보안 업데이트(패치)가 누락된 롯데카드 웹 서버의 취약점을 공격해 침투했습니다.

그리고 서버에 ‘웹셸’이라는 해킹용 프로그램을 심어놓고 14일과 15일 이틀에 걸쳐 데이터를 빼내가기 시작했죠.

더 큰 문제는 롯데카드가 이 사실을 무려 17일이 지난 8월 31일에야 처음 인지했다는 겁니다.

심지어 처음 금융당국에 신고할 때는 데이터 유출 규모를 1.7GB라고 축소 보고했는데요.

금융당국과 금융보안원이 합동으로 조사해 보니, 실제 유출량은 그 100배가 넘는 200GB에 달하는 것으로 드러났습니다.

그래서 내 정보는
얼마나 위험한 상황이죠?

네, 그렇습니다. 정부의 구상에 대해 ‘역차별’이라는 비판도 거셉니다. 고신용자가 모두 부자나 투기꾼은 아니라는 거죠.

상당수의 고신용자는 소득이 높지 않더라도 연체 없이 성실하게 빚을 갚으며 신용을 관리해온 평범한 서민들입니다.

이들이 그 노력의 대가로 낮은 금리를 적용받는 것인데, 이들에게 부담을 더 지우는 것은 부당하다는 주장입니다.

최보윤 국민의힘 수석대변인은 “성실히 신용을 지켜온 고신용자도 똑같이 서민”이라며 “그들을 ‘더 낼 사람’으로 낙인찍는 것은 국민 갈라치기”라고 비판했습니다.

한동훈 전 대표도 “약속을 지키면 징벌받고 약속을 어기면 보상받는다면 누가 힘들게 약속을 지키려 하겠느냐”고 지적했습니다.

• 초고위험군 (28만 명) : 카드번호, 유효기간은 물론이고 온라인 결제의 핵심 정보인 CVC 번호³까지 모두 유출됐습니다. 이 정보만 있으면 카드 실물 없이도 해외 사이트 등에서 ‘키인’ 방식으로 결제가 가능해, 카드 부정 사용에 직접적으로 노출된 상태입니다. 롯데카드에 따르면 7월 22일에서 8월 27일 사이에 페이 서비스나 온라인 쇼핑몰에 카드를 신규 등록한 고객들이 여기에 해당합니다.
  
• 고위험군 (269만 명) : CVC 번호는 유출되지 않았지만, 다른 개인정보가 새어 나갔습니다. 이 중 47만 명은 주민등록번호까지 유출된 것으로 확인됐는데요. 당장 카드 부정 사용 가능성은 작지만, 유출된 정보를 이용한 보이스피싱이나 스미싱 등 2차 범죄의 표적이 될 수 있어 안심할 수 없는 상황입니다.
  

기업들 대응과 보상
믿을 만한가요?

두 회사 모두 ‘늑장 대응’으로 사태를 키웠다는 비판을 받고 있습니다

KT는 첫 피해가 8월 5일에 발생했는데도 한 달 가까이 아무런 조치를 취하지 않았습니다.

심지어 9월 1일 경찰이 해킹 가능성을 알렸음에도 "뚫릴 리가 없다"며 조치를 미루다 9월 5일에야 비정상 결제를 차단했죠. 그 사이에 109건의 피해가 추가로 발생했습니다.

롯데카드의 대응은 더 심각합니다.

해킹 발생 17일 후에야 인지한 것도 문제지만, 피해 규모를 축소 보고해 초기 대응의 ‘골든타임’을 놓쳤다는 비판이 거셉니다.

업계에서는 롯데카드의 최대주주인 사모펀드 MBK파트너스가 단기 수익에만 치중해 보안 투자를 소홀히 한 결과가 아니냐는 지적이 나오는데요.

실제로 롯데카드의 정보보호 투자액은 2021년 대비 지난해 14.7%나 줄어든 것으로 나타났습니다.

물론 두 회사 모두 피해액 전액을 보상하겠다고 약속했습니다.

• 롯데 카드 보상안 : 유출 고객 전원에게 연말까지 10개월 무이자 할부, 사이버 금융피해 보상 서비스 무상 제공. CVC까지 유출된 28만 명은 카드 재발급 시 다음 해 연회비 전액 면제.
  
• 미래 대책: 향후 5년간 1,100억 원 규모의 정보보호 관련 투자 집행, 대표이사 직속 보안 조직 개편, 24시간 통합 관제 체계 구축 등.

이젠 뭘 어떻게 해야 하죠?

이번 두 사건은 더 이상 100% 안전한 금융·통신 서비스는 없다는 사실을 명확히 보여줬습니다. 이제 우리 스스로가 정보를 지키기 위해 더 노력해야 하는 시대가 된 거죠

우선, 카드 명세서와 통신요금 청구서를 ‘나도 모르는 돈이 나가지 않았는지’ 매달 꼼꼼히 확인하는 습관이 무엇보다 중요합니다.

또한 유출된 정보를 이용해 ‘KT 보상센터입니다’ ‘롯데카드 유출 관련 안내입니다’와 같은 교묘한 스미싱 문자나 보이스피싱 전화가 급증할 수 있습니다.

공식 앱이나 웹사이트를 통하지 않은 링크는 절대 누르지 마시고, 개인정보나 금융정보를 요구하는 전화는 일단 끊고 공식 콜센터를 통해 다시 확인하는 것이 안전합니다.

마지막으로, 롯데카드 고객 중 특히 28만 명의 초고위험군에 해당하는 분들은 2차 피해를 막기 위해 조금 번거롭더라도 카드를 재발급받는 것을 적극적으로 고려해야 하죠.

그럼 오늘은 여기까지. "어디 가서 아는 척할 수 있는 정보" 시사 경제 뉴스레터 <미스터동>이었습니다.

#지식토스트 #지식토스트_모닝브리핑