롯데카드 해킹 사고가 발생하면서 고객 965만여 명의 개인정보 유출과 금융범죄 악용 등 2차 피해 가능성에 대한 우려가 제기되고 있다. 시장에선 홈플러스 기업회생 사태에 이어 이번 롯데카드 해킹 사고까지 두 회사의 대주주인 MBK파트너스의 경영 행태에 곱지 않은 시선을 보내고 있다.
4일 업계에 따르면 롯데카드는 지난달 말 해킹 흔적을 발견하고 이 사실을 이달 1일 금융감독원에 신고했다. 금감원은 지난 2일 롯데카드에 대한 현장 조사에 착수했다.
정보보안 업계 일각에서는 롯데카드가 약 8년 전 공개된 취약점으로 해킹을 당한 것이라며 기본적 보안시스템이 미흡했다고 지적했다. 악용된 취약점은 2017년 오라클이 자사 웹 애플리케이션 서버 ‘웹로직’에 대해 발표한 취약점 ‘CVE-2017-10271’이다. 해커가 일찍이 보안 패치까지 배포된 취약점을 악용해 웹셸 프로그램을 설치했다는 것이다.
롯데카드가 내부 파일 유출이 발생하고 17일이 지나서야 해킹 사고를 인지한 점도 비판을 받고 있다.
금융감독원과 금융보안원은 롯데카드 현장검사에 착수해 고객정보 유출 여부 등을 확인하고 있다. 고객 데이터베이스(DB)를 관리하는 부분과 서버를 집중 관리하는 계정 등이 해킹됐다고 보는 것으로 전해졌다.
금감원이 강민국 국민의힘 의원실에 보고한 자료에 따르면 해킹에 따른 내부파일 유출은 지난달 14일 오후 7시경이며, 유출 시도는 16일까지 계속됐다. 14일과 15일 각 1차례씩 2회, 온라인 결제 서버 해킹을 통해 내부파일이 외부로 반출됐다. 16일에는 반출에 실패했다.
관련기사
- 'MBK 사모펀드 규제법' 등장…차입 한도 '4→2배' 축소2025.08.20
- "홈플러스 대규모 폐점, MBK의 먹튀 선포"2025.08.14
- 고려아연 "영풍·MBK 디스커버리 절차, 단순 신청 결과…이의 신청할 것"2025.07.18
- 영풍·MBK vs 고려아연, 이그니오 투자 의혹 놓고 공방2025.07.18
롯데카드는 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 사실을 확인했고, 지난달 31일 온라인 결제 서버에서 1.7GB 규모 데이터가 유출된 흔적을 확인했다. 이달 1일 금융 당국에 사고 신고를 했지만 개인정보 유출 여부는 확인하지 못했다.
롯데카드는 지난 2019년 롯데그룹 계열사에서 분리돼 사모펀드인 MBK파트너스에 인수됐다.
