최근 롯데카드 고객정보 유출 해킹사건 원인이 전자금융기반시설 운영 서버인 48개의 오라클 웹로직(WebLogic) 서버 중 하나가 자산목록에서 누락되

어, 보안패치 등 조치가 이루어지지 않은 것임이 밝혀졌다.

롯데카드는 이러한 보안 무방비 상태를 무려 7년간이나 사실상 방치하였다.

더욱 충격적인 것은 금융보안원이 2024년 두 차례나 금융기관들에 웹로직이 해킹에 취약하니 보안패치 등의 조치를 실시할 것을 권고했는데도 보안 조치가 이루어지지 않았다는 것이다.

김남근 (사진)의원실이 금융보안원으로부터 제출받은 자료에 따르면, 금융보안원은 “이번 공격의 주된 원인이였던 웹로직 해킹 취약점이 공개(18년)된 후 전 금융권에 이를 즉시 공지”하고, “보안패치 등 조치를 실시할 것을 2018년에 이어 2024년에도 두 차례에 걸쳐 권고”했다는 것이다.

 금융보안원은 웹로직 해킹 취약점(CVE-2017-10271)과 관련하여, 이를 인지한 2018년 1월 11일 처음으로 “Oracle WebLogic Server 취약점 보안 업데이트 권고”를 안내했고, 2024년에도 8월과 10월 두 차례에 걸쳐 각각 “금융권 대상의 취약점 스캔 공격 주의”, “최근 금융회사 대상 오라클 웹로직 취약점 공격 관련 침해지표 공유” 등의 내용으로 웹로직의 보안 취약점을 경고하고 보안 조치를 취할 것을 재차 권고했다.

 그러나 금융감독당국이 국정감사에서 반드시 해명해야 할 것은 위와 같이 2024년에 두 차례나 보안조치 경고를 했음에도 불구하고, 막상 금융보안원이 금융기관 자체 보안 점검항목으로 배포하는 ‘전자금융기반시설 취약점 분석․평가 내용’ 상에는 웹로직 관련 항목이 포함되지 않았다는 것이다. 롯데카드도 자신만의 잘못이 아니라며 이러한 해명을 한 바 있다.

 「전자금융거래법」에 따르면, 금융회사는 자체적으로 전자금융기반시설 취약점 분석평가를 실시하고 반기별로 점검 및 조치현황을 금융감독원에 보고한다.

이는 “전자금융기반시설, 주요정보통신기반시설 등에 대한 자산분석, 취약성 분석 등을 통해 해당 시설의 전자적 위협 요인을 파악한 후, 위협요인에 대한 취약점을 식별하고 파급 영향을 분석하여 정보보호 대책 수립을 지원”하기 위함이다.

 
또한, 금융보안원이 웹로직 해킹 취약점을 처음 공지한 2018년 이후에는 취약점 공지를 하지 않다가 6년이 지난 2024년에 갑자기 2차례나 취약점 경고를 한 것도 의문이다. 경위를 보면 금융회사 대상 웹로직 취약점 공격 시도가 있었다고 한다.

공격 시도였는지 실제 해킹과 정보유출은 없었는지 사실관계를 밝혀야 한다. 2018년 최초 안내 이후 금융회사들이 후속 조치를 제대로 시행했고, 금융감독당국이 이를 점검 확인했다면 2024년 취약점 공격이 발생하지 않았을 것이고, 이에 대한 추가 안내도 필요하지 않았을 것이다. 2024년 두 차례나 웹로직 취약점 경고를 하게 경위에 대해서도 국정감사를 통해 밝혀져야 한다.

 금융감독당국이 웹로직 취약점 공격을 예견하고 경고까지 했다는 점에서 이번 롯데카드 고객정보 유출 사태는 명백한 인재(人災)임이 틀림없다.

 취약점 분석평가 체계상 드러난 보다 근본적인 문제는 해킹 당한 웹로직 프로그램이 롯데카드의 정보보안 자산목록에서 아예 누락되어 있어서 아예 보안 점검대상도 안 되었다는 점이다.

 현행 전자금융기반시설 취약점 분석평가 제도를 포함한 금융권 정보보호 체계 및 평가 제도는 각 금융회사가 식별한 보안 프로그램 자산을 대상으로 진행된다. 다시 말해 관련 보안 프로그램이 자산으로 식별되거나 관리되지 않는다면 외부 점검기관 또는 인증기관이 위협요인에 대한 취약점을 파악하고 정보보호 대책도 수립할 수 없다는 것이다.

 롯데카드는 네트워크 구간 침해시도 탐지 대응 강화, 서버 및 내부망 접근통제 강화, 로그 등 데이터 보안 강화 등을 재발방지대책으로 제시하고 있지만 정작 왜 해당 웹로직이 자산으로 식별되지 않았는지에 대해서는 납득할 만한 해명을 하지 못하고 있다.

 더 큰 문제는 이렇게 식별되지 않은 취약 자산이 과연 롯데카드가 보유한 한 개의 웹로직에만 국한되지 않을 수 있다는 점이다. 금융회사가 사용하는 정보보안 소프트웨어 가짓수만 해도 일일이 열거하기 어려운 규모라고 한다.

롯데카드를 포함해 각 금융회사가 관련 프로그램을 제대로 식별하고, 관리하고 있는지, 이번 사태와 유사하게 식별조차 되지 않아 자산목록에서 누락된 채 취약점 공격에 노출된 자산은 없는지 추가 조사와 조치가 필요하다.

김남근 의원은 “식별되지 않은 자산이 롯데카드의 한 개 웹로직 프로그램에 그치는지, 전체 금융권에서도 유사한 관리 사각지대가 없는지 전면적 실태 점검이 필요하다”며 금융당국의 즉각적인 후속 조치를 촉구했다. 김 의원은 “금융회사의 정보보호는 비용이 아니라 신뢰의 기반을 쌓는 투자라는 관점에서 금융기관들도 적극적으로 금융당국의 전면적인 보안대상 자산 실태조사에 협조해야 할 것”이라고 당부했다.