2025.09.25 목요일
검색
'보안관리' 검색결과
기간검색
-
~
검색영역
검색어
-
![[기자수첩]롯데카드, 누구도 만족 못한 해명·보상...안전 수준은 여전히 불투명](https://image.ajunews.com//content/image/2025/09/25/20250925102833388591.png)
롯데카드, 누구도 만족 못한 해명·보상...안전 수준은 여전히 불투명 [이코노믹데일리] 롯데카드의 297만명 정보유출 사고로 롯데카드·MBK파트너스에 대한 부실 지적이 쏟아진다. 롯데카드 측은 보안 투자를 강화했다고 해명했지만 피해자들이 납득할만한 근거를 내놓지 못하고 있다. 피해 방지·보상 차원으로 제시한 대응책도 고객 불안 해소에 충분치 않은 수준이다. 이번 롯데카드 해킹 사태는 보안 관리 부실의 결과다. 해킹은 지난달 14일 발생했지만 정황이 발견된 건 26일로 약 2주 동안 고객 정보가 무방비로 유출됐다. 해킹 원인은 지난 2017년 보안 업그레이드 패치 적용 중 자주 사용하지 않던 서버 부문의 패치 누락으로 이는 전형적인 내부 관리 소홀이라고 볼 수 있다. 롯데카드와 대주주 MBK를 둘러싼 보안 투자 지적도 피할 수 없다. 롯데카드는 정보보안 예산·인력을 강화해왔다고 해명했지만 최근 5년간 정보기술(IT) 예산 대비 정보보호 예산 비중은 14.2%에서 9%까지 감소한 것으로 나타났다. 보안 인력도 기존 16명에서 30명까지 늘렸으나 전체 IT 인력대비 비중은 43%에서 20%까지 급감했다. 이는 고객들을 절대 납득시킬 수 없는 해명이다. 피해 대책으로 제시한 무이자 할부·연회비 면제·피해 전액 보상 등도 고객 불안을 잠재울 수 없었다. 주민등록번호와 같은 민감정보 유출은 카드 부정 사용과 같은 금전적 피해 외 다른 피해 위험성도 존재한다. 그럼에도 롯데카드가 제시한 피해자 전액 보상은 금전 피해에만 한정됐다. 무이자 할부·연회비 면제도 피해 고객들의 활용도가 떨어진다. 무이자 할부 서비스를 이용하지 않던 고객, 롯데카드에 신뢰를 잃어 탈회를 결정한 고객들이 받을 수 있는 실질적인 보상은 없는 상황이다. 이미 피해 고객 일부는 법무법인과 함께 집단소송 절차에 돌입했다. 롯데카드에게는 보안 관리를 강화할 기회가 있었다. 앞서 SKT·SGI서울보증 등에서 해킹사고가 발생했을 당시 이를 반면교사 삼아 내부 프로세스 및 서버 보안 검사를 진행했다면 지금과 같은 질타를 받지 않았을 것이다. 롯데카드가 이번 사태의 책임을 다하려면 기존 발표한 보안 투자 강화를 넘어 인프라·인력구조 개선이 필요하다. 이번 사태가 내부 보안 관리 부실로 발생한 만큼 보안 관리 프로세스를 체계화하고 고객들이 명확하게 이해할 수 있도록 알려야 한다. 정부·당국에서는 금융사의 보안 상황을 명확히 알 수 없는 '깜깜이 공시'를 개편해야 한다. 현재 카드사, 은행 등 금융사의 정보 보안 관리가 타 업권 대비, 글로벌 기준 대비 안전한 수준인지 확인할 수 없는 상황이다. 당국은 금융사의 보안 투자 비용·인력 구조·점검 현황 등을 소비자들이 확인할 수 있도록 의무 공시 기준을 강화해야 한다. 이는 소비자가 금융 상품을 결정할 때 유의미한 기업 평가 지표를 제공해 소비자 선택권도 강화하는 길이다.2025-09-25 10:46:48
-
KT 해킹 부른 '펨토셀', '정부인증' 믿었는데…제도적 허점 드러나 [이코노믹데일리] KT 대규모 해킹 사태를 촉발한 초소형 기지국(펨토셀)이 정부의 핵심 정보보호 인증 제도의 사각지대에 놓여 있었던 것으로 드러났다. 국가 공인 인증을 받았음에도 대형 보안 사고가 터진 근본적인 이유가 제도적 허점 때문이었다는 비판이 나온다. 25일 국회 과방위 소속 이해민 의원(조국혁신당)이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 펨토셀은 정보보호관리체계(ISMS-P) 인증 범위에서 사실상 제외돼 있었다. ISMS-P는 기업의 정보보호 및 개인정보보호 관리 체계가 국가 인증 기준에 적합한지 심사하는 제도로 통신사 등 정보통신망서비스제공자(ISP)는 의무적으로 인증을 받아야 한다. 문제는 인증 범위의 해석과 적용에 있었다. KISA는 “인력과 예산의 한계로 코어망 중심으로만 인증이 진행되고 있다”며 “무선기지국은 중앙전파관리소가 관리하기 때문에 범위에 포함하지 않는다”고 해명했다. 하지만 중앙전파관리소의 무선기지국 검사는 전파의 간섭 여부 등 장비 성능 확인에 국한될 뿐 보안 취약점 점검은 전혀 이뤄지지 않는다. 결국 펨토셀을 포함한 무선 기지국 전체가 보안 검증의 공백 상태로 방치돼 있었던 셈이다. 이러한 형식적인 인증 제도는 결국 ‘종이호랑이’로 전락했다는 지적이다. 이해민 의원은 “해킹 피해를 본 기업은 대부분 ISMS나 ISMS-P 인증을 받은 곳”이라며 “국민은 정부 인증을 신뢰하고 기업 서비스를 이용하지만 현실과 동떨어진 인증 기준과 기업 자율에 맡긴 형식적 검토만으로 보안 수준을 높일 수 없다”고 비판했다. 이 의원은 근본적인 제도 개편을 촉구했다. 그는 “ISP 사업자의 경우 코어망 외부에서도 보안 사고가 발생하는 만큼 인증 범위를 확대해야 한다”며 “형식적인 서류심사나 체크리스트 위주의 인증이 아니라 실제 해킹 위협 시나리오를 토대로 보안관리 체계를 개편해야 한다”고 강조했다.2025-09-25 08:08:32
-
금융위, 보안 사고 금융사에 '징벌적 과징금' 추진…"CEO 책임 아래 대응책 마련 必" [이코노믹데일리] 최근 벌어진 금융사 해킹 사고에 금융당국이 보안 역량 강화에 주력하는 한편, 금융보안 체계를 근본적으로 개편하기 위한 징벌적 과징금 및 보안수준 비교 공시 도입, 정보보호 최고책임자(CISO) 권한 강화 등 종합적인 제도 개선을 추진한다. 23일 금융위원회에 따르면 권대영 금융위 부위원장은 이날 전(全) 금융권 CISO 등을 소집한 긴급회의를 열고 "보안을 귀찮고 부차적 업무로 여기지는 않았는지 정부와 금융회사 모두 반성해야 할 시점"이라며 이같이 밝혔다. 롯데카드의 297만명 회원정보 유출 사고 여파로 마련된 이날 대응 회의에는 전 업권 금융회사 CISO 약 180명이 참석했다. 권 부위원장은 "CEO 책임하에 모든 전산시스템과 정보 보호 체계에 보안상 허점이 없는지 사운을 걸고 즉시, 전면적으로 챙겨달라"며 "문제가 될 수 있는 요소들을 샅샅이 찾아 정부와 공유하고 해법을 논의해달라"고 말했다. 금융사에 상시적·체계적인 보안관리 시스템 구축도 당부했다. 또 금융회사 부주의로 침해사고가 발생할 경우 철저한 조사를 통해 엄정 제재할 것을 강조했다. 권 부위원장은 "CISO가 독립적으로 보안을 챙길 수 있도록 보장하고, 전산 보안 인력·설비 등을 충분히 갖추는 노력과 함께 적극적으로 챙기는 자세가 가장 중요하다"고도 말했다. 아울러 서비스 중단 및 정보 유출 등으로 인한 소비자 피해 발생 즉시 대고객 안내 및 피해 구제를 실시할 수 있도록 소비자 보호 대응 매뉴얼을 고도화하라고 주문했다. 그는 "불가피하게 침해사고가 발생하면 정확한 사실을 신속하게 정부·유관기관과 고객에 알리고, 상황에 맞는 피해 복구 조치와 구제 조처를 하는 것이 중요하다"며 "실제 침해사고 발생을 가정하고 세세한 상황별로 대처 요령을 담은 위기 대응 매뉴얼을 치밀하게 만들어달라"고 말했다. 금융감독원과 금융보안원에는 금융사의 전수 점검 결과와 위기 대응 매뉴얼 등 내용을 살펴달라고 지시했다. 향후 금융위는 신속한 보안 유의사항 전파 및 적시 점검 등을 통해 침해사고 예방·확산 방지 및 금융권 전반의 보안 역량 강화에 집중한다. 이와 함께 금융보안 체계를 개편하기 위한 징벌적 과징금 및 보안수준 비교 공시 도입, CISO 권한 강화 등 종합적인 제도 개선 사항도 신속히 추진할 방침이다. 특히 롯데카드에 대해서는 소비자 피해구제·불편해소에 최우선 순위를 두고 상황에 대처해 줄 것을 주문하며, 고객들이 손쉽게 카드 재발급·해지 등을 지원받을 수 있도록 전사적 역량을 기울여 달라고 강조했다.2025-09-23 13:18:29
-
권대영 금융위 부위원장 "롯데카드 해킹 사고 징벌적 과징금 신속 추진" [이코노믹데일리] 권대영 금융위원회 부위원장은 롯데카드를 비롯해 금융권에서 발생한 해킹 사고와 관련 "엄정한 결과 책임을 질 수 있도록 징벌적 과징금 도입 등 방안을 신속 추진하겠다"고 강조했다. 18일 오전 서울 정부종합청사에서 권 부위원장은 과학기술정보통신부와 합동 브리핑을 열고 "연이어 발생하고 있는 금융권 해킹 등 침해사고에 대해 매우 엄중하고 무겁게 인식하고 있다"며 "근본적인 제도개선에 즉시 착수하겠다"고 말했다. 이 같은 결정은 전날(18일) 조좌진 롯데카드 대표가 최근 발생한 해킹 사고 등에 대한 고객 조치가 미흡했다는 것으로 풀이된다. 실제 조 대표는 "전체 유출 고객 중 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명으로 이중 유출 정보 범위는 카드번호, 유효기간, CVC번호 등"이라며 "피해 보상 및 방지에 나설 것"이라고 고개를 숙였다. 롯데카드는 지난달 26일 온라인 결제 서버에서 외부 해커의 침해 흔적을 발견하고 전체 서버에 대한 정밀 조사를 실시한 결과 신원 미상의 해커가 온라인 결제 시스템에 웹쉘 악성코드를 설치해 27일까지 정보를 반출한 것으로 파악했지만, 금융당국에 늦장 보고가 있었다고 당국은 보고 있다. 실제 금융감독원·금융보안원의 현장 검사 결과 기존에 파악됐던 1.7GB보다 훨씬 큰 규모인 약 200GB의 반출 정황이 발견됐으며 지난 17일 특정 고객의 정보 유출 사실이 확인됐다. 최종적으로 확인된 유출 피해 회원 규모는 총 297만명으로 유출 정보는 △CI △가상결제코드 △내부식별번호 △간편결제 서비스 종류 등이다. 특히 유출 고객 중 지난 7월 22일부터 지난달 27일 사이 신규 페이결제 서비스·커머스 사이트에 카드 정보를 등록한 고객 28만명은 부정 사용 피해 발생 가능성도 있는 것으로 나타났다. 해당 고객의 유출 정보는 △카드번호 △유효기간 △CVC 등으로 단말기에 카드정보를 직접 입력해 결제하는 '키인' 거래 분야에서 부정사용이 가능할 수 있다. 이 같은 결과에 금융위는 보안사고 발생시 사회적 파장에 상응하는 엄정한 '결과책임'을 질 수 있도록 징벌적 과징금 도입 등 방안을 신속히 추진하고 금융회사가 상시적으로 보안관리에 신경쓸 수 있도록 CISO 권한 강화, 소비자 공시 강화 등에 따른 대책을 내놓은 것으로 풀이된다. 권 부위원장은 "조사 결과에 따라 위규사항 확인시 일벌백계 차원에서 엄정 제재를 취할 방침"이라며 "금융권 해킹 등 침해사고에 대해 매우 엄중하고 무겁게 인식하고 있다"고 고개를 숙였다. 그는 "IT 기술 발전 등으로 해킹 기술과 수법이 빠르게 진화하는 반면 금융권의 대응은 이를 따라가지 못하는 측면이 있다"며 "보안투자를 불필요한 비용이나 부차적 업무로 여기는 안이한 자세가 금융권에 있지 않았는지 냉정하게 돌아봐야 할 시점"이라고 지적했다. 그는 "최근 일련의 사태를 계기로 보안실태에 대한 밀도있는 점검과 함께 재발방지를 위한 근본적 제도개선도 즉시 착수하겠다"며 "금융회사 CEO 책임 하에 전산시스템 및 정보보호 체계 전반을 긴급 점검하고 금융감독원·금융보안원 등을 통해 점검결과를 면밀히 지도·감독해 나가겠다"고 말했다. 이어 "보안 사고 발생시 사회적 파장에 상응하는 엄정한 결과책임을 질 수 있도록 징벌적 과징금 도입 등 방안을 신속히 추진하겠다"며 "금융사가 상시적으로 보안관리에 신경쓸 수 있도록 CISO(최고보안책임자) 권한 강화, 소비자 공시 강화 등 대책을 강구하겠다"고 덧붙였다.2025-09-19 09:51:34
-
SKT 위약금 면제 거부 시 '등록 취소'… 정부, 초강수 칼 빼들었다 [이코노믹데일리] 정부가 SK텔레콤의 대규모 유심(USIM) 정보 유출 사태와 관련해 ‘사업 등록 취소’라는 초강경 카드를 꺼내 들었다. SK텔레콤의 명백한 귀책사유가 확인된 만큼 위약금 면제 조치를 이행하지 않을 경우 전기통신사업법에 따라 가능한 최고 수준의 제재에 나서겠다는 입장을 공식화한 것이다. 이는 단순한 권고를 넘어 사실상 SK텔레콤의 존립 자체를 위협할 수 있는 최후통첩으로 해석돼 파장이 예상된다. 류제명 과학기술정보통신부 제2차관은 4일 정부서울청사에서 열린 ‘SKT 침해사고 최종 조사 결과’ 브리핑에서 “SK텔레콤이 위약금 면제에 반대 입장을 표명할 경우 전기통신사업법에 따라 시정명령을 내리고 이를 이행하지 않으면 등록 취소까지도 가능하다”고 밝혔다. 류 차관의 발언은 전기통신사업법 제20조에 명시된 ‘시정명령 불이행 시 사업 등록 취소’ 조항을 직접 겨냥한 것으로 사실상 정부가 동원할 수 있는 최고 수준의 제재 카드를 꺼내든 셈이다. 정부가 이처럼 강도 높은 압박에 나선 배경에는 이번 사태가 SK텔레콤의 명백한 과실에서 비롯됐다는 확신이 자리 잡고 있다. 민관합동조사단은 △관리자 계정정보의 평문 저장 등 총체적 보안관리 부실 △2022년 발생한 유사 침해사고에 대한 신고 누락 및 부실 대응 △유심 핵심 인증키(Ki) 값의 암호화 조치 미이행 등을 핵심적인 귀책사유로 지목했다. 류 차관은 “SK텔레콤의 보안 수준은 관련 법령 기준은 물론 일반적 사업자에게 기대되는 주의의무에도 미치지 못했다”며 “특히 유심 인증키의 경우 다른 통신사들은 모두 국제 권고에 따라 암호화했지만 SK텔레콤만 이를 이행하지 않았다”고 질타했다. 정부는 이러한 판단의 법적 타당성을 확보하기 위해 5개 법무법인에 법률자문을 의뢰했으며 이 중 4곳으로부터 ‘SK텔레콤의 귀책사유가 인정돼 위약금 면제가 가능하다’는 의견을 받았다. 이를 근거로 정부는 SK텔레콤 이용약관 제43조 ‘회사의 귀책 사유로 해지 시 위약금 면제’ 조항을 적용해야 한다는 최종 결론에 도달했다. 이에 따라 이번 사태로 인한 위약금 면제는 유심 정보가 유출된 4월 18일 이후 번호이동 등으로 통신사를 옮긴 가입자에게도 소급 적용되어 환불 조치가 이뤄져야 한다. 다만 인터넷이나 IPTV 등 유무선 결합상품 가입자의 경우 개별 조건이 복잡해 일률적인 기준을 정하기는 어렵다는 입장이다. 이제 공은 SK텔레콤으로 넘어갔다. 류 차관은 “정부 입장을 오전에 전달했으니 SK텔레콤이 내부 검토 후 조속한 시일 내에 구체적인 방안을 내놓을 것으로 본다”며 신속한 결정을 촉구했다. 만약 SK텔레콤이 정부의 결정을 수용하지 않고 버틸 경우 시정명령과 사업 정지, 나아가 등록 취소라는 파국으로 치달을 수 있는 일촉즉발의 상황이다. 이번 정부의 초강경 대응은 국가 기간망 사업자의 정보보호 책임을 더 이상 좌시하지 않겠다는 강력한 시그널로 국내 통신 산업 전반에 거대한 파문을 일으키고 있다.2025-07-04 16:08:51
많이 본 뉴스
영상
Youtube 바로가기
![[기자수첩]롯데카드, 누구도 만족 못한 해명·보상...안전 수준은 여전히 불투명](https://image.ajunews.com/content/image/2025/09/25/20250925102833388591_518_323.png)