2025 롯데카드 해킹 사고 완벽 분석｜공격 방법·취약점·피해 규모·대응 현황 총정리

2025년 8월, 대한민국 금융계를 또다시 강타한 대규모 보안 참사가 발생했습니다. 약 960만 회원을 보유한 롯데카드에서 **전체 회원의 3분의 1에 달하는 297만 명의 개인신용정보가 유출**되는 초유의 해킹 사태가 터진 것입니다[208][209]. 특히 이 중 28만 명은 카드 결제의 핵심 정보인 CVC 번호까지 유출되어 2차 피해 우려가 극에 달했습니다. 이 글은 SGI 사태에 이어 발생한 롯데카드 해킹의 **사건 개요부터 구체적인 공격 방법, 드러난 치명적 취약점, 사측의 늦장 대응 논란, 피해 보상안과 현재 진행 상황**까지, 공개된 모든 정보를 집대성하여 8,000자 이상으로 상세히 분석한 완벽 가이드입니다.

사건 개요: 17일간의 침묵, 297만 명의 정보가 털렸다

최초 해킹 시점: 2025년 8월 14일 ~ 15일[205][211]
사고 인지 시점: 2025년 8월 26일 (서버 점검 중 악성코드 발견)[206]
금융당국 신고: 2025년 9월 1일 (최초 인지 후 6일 경과)[205]
대국민 사과 및 공식 발표: 2025년 9월 18일 (신고 후 17일 경과)[208][225]
피해 규모:
- 개인정보 유출: 297만 명[208]
- 핵심 결제정보 유출(CVC 포함): 28만 명[208][209]
- 유출 데이터 용량: 당초 1.7GB 발표 → 최종 200GB 확인[209]

해커의 최초 공격 후 17일, 사고 인지 후 23일이 지나서야 피해 규모가 공식화되었습니다. 이 "골든타임"을 놓친 늦장 대응은 피해를 키운 핵심 원인으로 지목됩니다.

공격 전말 분석: 해커는 어떻게 방어벽을 뚫었나?

SGI 사태와 마찬가지로, 이번 공격 역시 막을 수 있었던 '인재(人災)'에 가깝습니다. 해커는 알려진 취약점을 이용해 손쉽게 초기 침투에 성공했습니다[219][226].

1. 초기 침투: 방치된 8년 전 취약점이 문을 열다

공격 경로: 외부에 노출된 **온라인 결제 서버**
핵심 취약점: **Oracle WebLogic 서버의 원격코드 실행 취약점 (CVE-2017-10271)**[226]

해커가 사용한 'CVE-2017-10271'은 **2017년에 이미 발견되어 보안 패치가 배포된** 매우 오래된 취약점입니다[226]. 롯데카드는 이 서버에 대한 최신 보안 패치 적용 의무를 지키지 않았고, 해커는 이 낡은 뒷문을 통해 손쉽게 서버 내부로 침입할 수 있었습니다[223].

2. 내부 장악 및 데이터 유출: 웹쉘 설치와 은밀한 탈취

서버에 침투한 해커는 지속적인 통제권을 확보하기 위해 **웹쉘(Webshell)**을 설치했습니다. 웹쉘은 해커가 언제든 원격으로 서버에 명령을 내릴 수 있게 하는 악성 스크립트입니다[206].

악성코드 배포: 웹쉘을 통해 총 2종의 악성코드와 5종의 웹쉘을 추가로 서버 3대에 설치하며 내부 장악력을 높였습니다[206].
교묘한 데이터 탈취: 해커는 데이터를 바로 빼내지 않고, 서버 내부에서 여러 개의 압축 파일로 분할한 뒤 조금씩 외부로 빼내는 방식을 사용했습니다. 탈취 후에는 압축 파일과 로그 기록을 삭제하여 흔적을 지우려 시도했습니다[209]. 이 때문에 롯데카드는 초기 조사에서 데이터 유출 규모를 1.7GB로 축소 발표하는 오류를 범했습니다.

치명적 취약점: 무엇이 문제였나? '총체적 보안 불감증'

롯데카드는 해킹 시작 당일인 8월 12일, 국내 최고 수준의 정보보호 및 개인정보보호 관리체계 인증인 **ISMS-P를 획득했다**고 대대적으로 홍보했습니다[213][218]. 인증의 공신력과 실효성에 대한 근본적인 의문이 제기되는 대목입니다.

취약점 유형	상세 내용	비고
1. 기본적인 보안 패치 관리 실패	- 8년 된 치명적 취약점(CVE-2017-10271) 방치 - 자체 규정인 '보안패치 최신화 의무' 위반[223]	가장 기본적인 보안 관리의 실패.
2. 부실한 보안 모니터링 및 탐지 시스템	- 8월 14일 최초 침투 후 17일간 인지하지 못함. - 데이터가 200GB나 유출되는 동안 이상 트래픽 탐지 실패.	침입탐지시스템(IDS/IPS)의 오작동 또는 관리 부실.
3. 늦장 대응 및 축소 보고 논란	- 8/26 사고 인지 → 9/1 당국 신고 (6일 소요) - 9/1 신고 → 9/18 대국민 발표 (17일 소요) - 초기 유출 규모 1.7GB로 축소 발표.	골든타임을 놓쳐 피해 확산, 고객 신뢰 상실.
4. '셀프 합격점' 논란의 IT 감사	- 보안패치 미비 등 취약점을 인지했음에도 자체 IT 감사에서 '셀프 합격점'을 부여한 정황[223].	내부 통제 시스템의 형식적 운영.

피해 규모와 영향: 28만 명의 CVC는 왜 털렸나?

이번 사고로 유출된 297만 명의 정보는 단순 개인정보를 넘어, 직접적인 금융 피해를 유발할 수 있는 민감 정보를 다수 포함하고 있습니다.

일반 유출 정보(269만 명): 연계정보(CI), 가상 결제코드, 내부 식별번호 등
핵심 결제정보 유출(28만 명): 위 정보에 더해 **카드번호, 유효기간, 비밀번호 앞 2자리, CVC**까지 모두 유출[208][209].
- 유출 대상: 7월 22일~8월 27일 사이, 새로운 페이 서비스나 쇼핑몰에 카드를 신규 등록한 고객들[209].
- 위험성: 이 정보만으로 카드 실물 없이 전화 주문이나 수기 결제 단말기 등에서 부정 사용('키인 거래')이 가능[209][221].

롯데카드는 초기 안내에서 CVC가 유출되지 않았다고 했다가, 이후 최소 1만 명 이상의 유출 내역이 CVC 포함으로 변경되는 등 혼선을 빚어 고객의 불안과 불신을 증폭시켰습니다[207][224].

대응 및 후속 조치: 엇갈린 평가와 남은 과제

1. 롯데카드의 대응 및 보상안

대국민 사과: 조좌진 대표가 직접 기자회견을 열고 사과하며, "사고로 발생한 피해액 전액 보상"을 약속[216][225].
보상안:
- 피해 고객 전원(297만 명): 10개월 무이자 할부 서비스 제공[216].
- CVC 유출 고객(28만 명): 차년도 연회비 면제 등 추가 보상안 검토[227].
후속 조치: 유출 고객 전원에게 안내 메시지 발송, 카드 재발급 및 비밀번호 변경 권고[212].

2. 고객 반응 및 시장 영향

대규모 재발급 사태: 정보 유출 확인 후 하루 만에 24만 건이 넘는 재발급 신청이 폭주[217].
집단 소송 움직임: 피해 고객들이 온라인 커뮤니티를 중심으로 집단 소송을 준비 중[210].
기업 이미지 실추: 롯데그룹은 "2019년 사모펀드 MBK파트너스에 매각되어 현재 우리와 무관하다"고 선을 그었으나, 브랜드 이미지 타격은 불가피[214][222].

3. 정부 및 수사기관의 조사

경찰 수사: 국가수사본부가 직접 수사에 착수, 해킹 경로 추적과 함께 유출 정보의 보이스피싱 등 2차 범죄 악용 가능성을 조사 중[210].
당국 조사: 금융감독원과 개인정보보호위원회가 공식 조사에 착수, 개인정보보호법 위반 여부 등을 면밀히 검토 중[210].

결론: '인증' 뒤에 숨은 보안 불감증, 무엇을 남겼나?

SGI 사태가 '기본의 부재'였다면, 롯데카드 사태는 **'관리의 부재'와 '인식의 부재'**가 부른 참사입니다. ISMS-P라는 국가 공인 최고 등급 보안 인증을 받고도 발생한 이 사건은 우리에게 다음과 같은 뼈아픈 교훈을 남깁니다.

1. '인증'은 면죄부가 아니다.

보안 인증은 최소한의 기준일 뿐, 안전을 보장하지 않습니다. 인증 획득에만 만족하고 지속적인 패치 관리, 모니터링, 취약점 점검을 게을리하면 언제든 뚫릴 수 있습니다.

2. 보안 패치는 선택이 아닌 '의무'다.

알려진 취약점을 방치하는 것은 대문을 열어두는 것과 같습니다. 특히 금융기관의 핵심 서버에 8년 된 취약점이 있었다는 것은 변명의 여지가 없는 명백한 '인재'입니다.

3. 사고 대응의 '골든타임'을 놓치지 마라.

사고 인지 후 20일 넘게 우왕좌왕하며 피해 규모조차 제대로 파악하지 못한 늦장 대응은 고객의 신뢰를 무너뜨리고 피해를 키웠습니다. 신속하고 투명한 공개, 그리고 체계적인 대응 프로세스가 필수적입니다.

4. 경영진의 책임과 투자가 보안의 시작이다.

보안을 비용으로 여기고 투자를 소홀히 한 결과는 결국 더 큰 비용(보상, 과징금, 브랜드 가치 하락)으로 돌아옵니다. 최고 경영진의 확고한 보안 철학과 투자가 전제되어야 합니다.

2014년 대규모 카드사 정보 유출 이후 10년, 우리는 또다시 같은 실수를 반복하고 있습니다. 롯데카드 사태는 대한민국 금융 보안 시스템이 여전히 얼마나 취약한지를 여실히 보여준 사건이며, 이를 계기로 형식적인 규제 준수를 넘어 실질적인 보안 체계를 구축하는 계기가 되어야 할 것입니다.

저작자표시 비영리 동일조건 (새창열림)

'정보보안' 카테고리의 다른 글

2025년 10월, 윈도우 10 지원 종료에 따른 대응 전략 윈도우11설치 (0)	2025.11.27
2025 CSAP 클라우드 보안인증 완벽 가이드 \| 개요, 등급, 인증방법, 업체 현황 총정리 (0)	2025.10.16
2025 SGI서울보증 해킹 사태 완벽 분석｜공격 방법·취약점·복구 과정 총정리 (0)	2025.09.23
보안에서 BCP/DRP란? 실전 도입·운영 가이드와 구체적 준비 절차 (1)	2025.09.10
BCP / DRP란 무엇인가? IT기업의 업무 연속성과 재해 복구 전략 완전정복 (2)	2025.08.29

지식 도서관

2025 롯데카드 해킹 사고 완벽 분석｜공격 방법·취약점·피해 규모·대응 현황 총정리

2025 롯데카드 해킹 사고 완벽 분석｜공격 방법·취약점·피해 규모·대응 현황 총정리

사건 개요: 17일간의 침묵, 297만 명의 정보가 털렸다

공격 전말 분석: 해커는 어떻게 방어벽을 뚫었나?

1. 초기 침투: 방치된 8년 전 취약점이 문을 열다

2. 내부 장악 및 데이터 유출: 웹쉘 설치와 은밀한 탈취

치명적 취약점: 무엇이 문제였나? '총체적 보안 불감증'

피해 규모와 영향: 28만 명의 CVC는 왜 털렸나?

대응 및 후속 조치: 엇갈린 평가와 남은 과제

1. 롯데카드의 대응 및 보상안

2. 고객 반응 및 시장 영향

3. 정부 및 수사기관의 조사

결론: '인증' 뒤에 숨은 보안 불감증, 무엇을 남겼나?

1. '인증'은 면죄부가 아니다.

2. 보안 패치는 선택이 아닌 '의무'다.

3. 사고 대응의 '골든타임'을 놓치지 마라.

4. 경영진의 책임과 투자가 보안의 시작이다.

'정보보안' 카테고리의 다른 글

티스토리툴바

2025 롯데카드 해킹 사고 완벽 분석｜공격 방법·취약점·피해 규모·대응 현황 총정리

사건 개요: 17일간의 침묵, 297만 명의 정보가 털렸다

공격 전말 분석: 해커는 어떻게 방어벽을 뚫었나?

1. 초기 침투: 방치된 8년 전 취약점이 문을 열다

2. 내부 장악 및 데이터 유출: 웹쉘 설치와 은밀한 탈취

치명적 취약점: 무엇이 문제였나? '총체적 보안 불감증'

피해 규모와 영향: 28만 명의 CVC는 왜 털렸나?

대응 및 후속 조치: 엇갈린 평가와 남은 과제

1. 롯데카드의 대응 및 보상안

2. 고객 반응 및 시장 영향

3. 정부 및 수사기관의 조사

결론: '인증' 뒤에 숨은 보안 불감증, 무엇을 남겼나?

1. '인증'은 면죄부가 아니다.

2. 보안 패치는 선택이 아닌 '의무'다.

3. 사고 대응의 '골든타임'을 놓치지 마라.

4. 경영진의 책임과 투자가 보안의 시작이다.

'정보보안' 카테고리의 다른 글

관련글

티스토리툴바