2025년 9월 18일, 롯데카드는 온라인 결제 서버 해킹으로 약 297만명의 개인정보가 유출된 사실을 발표했습니다. 이 사건은 웹 애플리케이션의 취약점을 이용한 공격으로 발생하였으며, 유출된 데이터의 규모는 약 200GB에 달합니다.
해킹 사고 개요
사고 발생 경위
이 사건은 웹 애플리케이션 취약점(CVE-2017-10271)을 악용하여 웹쉘을 업로드하고 내부 자료를 유출하는 방식으로 이루어졌습니다. 롯데카드는 이 사건으로 인해 약 28만명의 카드번호, 유효기간, CVC 등의 민감한 정보가 노출된 것으로 확인되었습니다.
개인정보 유출 규모
- 유출된 개인정보: 약 297만명
- 카드정보 유출: 약 28만명 (카드번호, 유효기간, CVC 포함)
- 유출된 데이터 크기: 약 200GB
개인정보 유출 경과
주요 사건 타임라인
- 2025년 8월 14일: 온라인 결제 서버 해킹 발생, 일부 파일 외부 반출 정황 발생
- 2025년 8월 26일: 서버 점검 중 악성코드 및 웹쉘 발견
- 2025년 9월 1일: 롯데카드가 금융감독원에 해킹 사실 신고
- 2025년 9월 18일: 최종 발표 – 유출 규모 200GB, 회원 297만명 및 카드정보 28만명 확인
[표: 개인정보 유출 경과]
| 날짜 | 사건 내용 |
|---|---|
| 2025-08-14 | 해킹 발생, 파일 외부 반출 정황 확인 |
| 2025-08-26 | 악성코드 및 웹쉘 발견 |
| 2025-09-01 | 금융감독원에 해킹 신고 |
| 2025-09-18 | 유출 규모 최종 발표 |
대응 조치 사항
즉각적인 대응
롯데카드는 해킹 발생 직후 고객의 피해 예방을 위해 여러 조치를 취했습니다. 카드 비밀번호 변경, 해외 이용 설정, 카드 재발급 신청 등 다양한 기능을 추가하여 고객의 안전을 도모했습니다.
장기적인 재발 방지 대책
- 기술적 조치: Oracle WebLogic 등의 외부 서비스 최신 보안 패치 즉시 적용, 웹 애플리케이션 방화벽(WAF) 정책 강화
- 관리적 조치: 침해사고 발생 시 72시간 내 보고 및 통지 체계 준수, 외주 및 협력사 개발 코드 전수 보안 점검
해킹 기술 분석
CVE-2017-10271 취약점
이 취약점은 Oracle WebLogic의 SOAP 요청 처리 과정에서 발생하는 원격 코드 실행 취약점으로, 공격자가 특별히 제작된 SOAP/XML 페이로드를 사용하여 서버에서 임의의 코드를 실행할 수 있게 합니다. 인증 없이 외부 공격이 가능하여 대규모 익스플로잇의 대상이 됩니다.
웹쉘의 특징
웹쉘은 일반적으로 JSP, PHP, ASP 등의 스크립트 기반으로 작성되며, 원격 명령 실행, 파일 업로드, 데이터베이스 쿼리 등의 작업을 수행할 수 있습니다. 롯데카드 사례에서는 최소 5종의 웹쉘이 발견되었습니다.
자주 묻는 질문
질문1: 롯데카드 해킹으로 유출된 정보는 어떤 것이 있나요?
해킹으로 인해 약 297만명의 개인정보가 유출되었으며, 그 중 28만명은 카드번호, 유효기간, CVC 등의 민감한 정보가 포함되어 있습니다.
질문2: 롯데카드는 어떤 대응 조치를 취했나요?
롯데카드는 해킹 발생 직후 고객의 피해 예방을 위해 카드 비밀번호 변경, 해외 이용 설정 등의 기능을 추가하고, 금융당국과 협력하여 조사를 진행하고 있습니다.
질문3: 고객의 피해 보상은 어떻게 이루어지나요?
롯데카드는 고객 피해 발생 시 전액 보상을 약속했습니다. 고객은 카드 해지 및 재발급 신청을 할 수 있는 절차가 마련되어 있습니다.
질문4: 이 사건은 금융당국에 어떤 영향을 미칠까요?
금융당국은 이번 해킹 사건에 대해 징벌적 과징금 및 형사 책임을 검토하고 있으며, 금융권 전반의 보안 체계를 강화하는 움직임이 확산되고 있습니다.
질문5: 향후 유사 사건을 방지하기 위해 무엇을 해야 하나요?
금융기관 및 관련 기업은 외부 서비스의 보안 패치를 즉시 적용하고, 정기적인 보안 점검 및 모의 해킹을 실시하여 보안 체계를 강화해야 합니다.
이전 글: 전입신고와 확정일자 받는 방법