롯데카드, 해커 침입 프리패스? '종이 방패' ISMS-P 인증

[CEONEWS=박수남 기자] 2025년 9월, 롯데카드가 "악성코드를 발견해 즉시 삭제 조치했다"며 내놓은 짤막한 발표는 빙산의 일각에 불과하다. "고객 정보 유출은 확인되지 않았다"는, 발표 뒤에는 967만 고객의 금융 생명을 위협하는 치명적 진실이 감춰져 있다. 롯데카드 시스템 가장 깊숙한 곳에서 발견된 5종의 '웹쉘(Webshell)'과 온라인 결제 서버에서 탈취를 시도한 1.7GB의 데이터 흔적. 이 두 가지 기술적 증거는 이번 사태가 단순 침해 사고가 아닌, 시스템의 '지휘권' 자체가 넘어간 심각한 보안 참사임을 명백히 가리키고 있다. 

공격자의 '마스터 키' 된 웹쉘… "즉시 삭제" 발표의 기만성 

사건의 본질을 이해하는 열쇠는 '웹쉘'에 있다. 웹쉘은 단순 악성코드가 아니다. 공격자가 원격에서 서버 관리자 권한을 탈취해 시스템을 제 집처럼 드나들 수 있게 만드는 '만능열쇠(마스터 키)'다. 일단 웹쉘이 설치되면 서버는 공격자의 좀비 PC로 전락한다. 파일 생성, 삭제, 정보 조회는 물론, 데이터베이스에 저장된 모든 정보에 접근할 수 있는 권한이 넘어간다. 

롯데카드에서는 이런 마스터 키가 무려 5종, 3개의 다른 서버에서 발견됐다. 보안 전문가들은 이를 공격의 정교함과 지속성을 보여주는 결정적 증거로 본다. 하나의 웹쉘이 제거되더라도 나머지 웹쉘을 통해 시스템 접근 권한을 유지하려는, 고도로 계획된 '영구 장악' 시도라는 것이다. 이는 롯데카드가 "즉시 삭제 조치했다"는 발표가 얼마나 허술한지를 보여준다. 공격자는 이미 시스템 내부에 여러 개의 뒷문을 만들어 놓은 상태였다. 사태가 공식 인지된 시점보다 훨씬 이전부터 공격이 시작됐으며, 초기 조치 이후에도 공격자가 여전히 시스템에 잠복해 있었을 가능성을 배제할 수 없는 이유다. 

1.7GB 데이터, 양이 아닌 '질'이 문제…'고농축' 금융 정보 

더욱 심각한 것은 데이터 유출 시도가 포착된 곳이 다름 아닌 '온라인 결제 서버'라는 점이다. 이곳은 카드번호(PAN), 유효기간, CVV 값 등 결제에 필요한 핵심 정보가 실시간으로 오가는 '심장부'다. 롯데카드는 "유출이 확인되지 않았다"고 반복하지만, 이 서버에서 나온 1.7GB 데이터는 그 자체로 금융 범죄에 즉시 악용될 수 있는 '고농축 원자재'다. 

금융 데이터는 압축률이 높아 1.7GB는 수백만, 수천만 건의 개인 기록을 담을 수 있는 결코 적지 않은 양이다. 그러나 핵심은 양이 아닌 질이다. 2014년 유출된 광범위한 인구통계 정보보다, 온라인 결제 서버에서 직접 추출된 정보는 범죄자들에게 즉각적인 '현금화'가 가능한 금광과 같다. "확인되지 않았다"는 표현은 '유출이 없었다'는 뜻이 아니다. '회사가 아직 명확히 입증하지 못했다'는 법적 책임을 피하기 위한 언어유희일 뿐, 970만 고객에게 어떤 안전도 보장하지 못한다. 

10년 전 교훈 잊었나…ISMS-P 인증은 '종이 방패'였다 

이번 사태는 2014년 2,000만 건의 정보 유출로 영업정지까지 당했던 롯데카드의 과거를 소환한다. 공격 형태는 내부자에서 외부 해커로 바뀌었을 뿐, 핵심 시스템이 뚫렸다는 결과는 같다. 이는 지난 10년간의 보안 강화 노력이 근본적인 체질 개선이 아닌, 규제 준수를 위한 형식적 절차에 그쳤을 수 있다는 방증이다. 

가장 충격적인 사실은 롯데카드가 해킹 사실을 인지하기 불과 2주 전, 국가공인 정보보호 인증인 ISMS-P(정보보호 및 개인정보보호 관리체계)를 갱신했다는 점이다. 이는 롯데카드만의 문제가 아니다. 최근 수년간 ISMS-P 인증을 받은 SK텔레콤, YES24 등 대기업에서 대형 보안 사고가 연이어 터져 나왔다. 한국인터넷진흥원(KISA) 통계에 따르면 ISMS 인증 기업의 침해사고 신고는 2021년 6건에서 2023년 101건으로 폭증했다. 

이는 ISMS-P 제도가 실제 방어 능력이 아닌, 서류 중심의 '체크리스트 보안'을 조장한다는 비판을 피할 수 없게 만든다. 감사를 통과하는 것이 목표가 되면서, 정작 시스템의 근본적 취약점은 방치되는 구조적 모순이다. 결국 ISMS-P는 기업과 대중에게 거짓된 안전감을 심어주는 '종이 방패' 역할을 했을 뿐, 정교한 공격 앞에 무참히 찢겨 나갔다. 

보이지 않는 후폭풍…책임은 고스란히 970만 고객에게 

서버에서 빠져나간 데이터는 사라지지 않는다. 다크웹의 'CVV 샵' 등 범죄 생태계로 흘러 들어가 체계적으로 상품화된다. 이제 문제는 '유출 정보가 범죄에 사용될까'가 아니라, '언제, 얼마나 광범위하게 사용될까'이다. 

롯데카드 고객들은 이제부터 카드 부정 사용(CNP), 거래 내역을 carn 정교한 피싱과 스미싱, 신원 도용 등 실재하는 위협에 무방비로 노출됐다. 그러나 롯데카드의 대응은 홈페이지 공지가 전부다. 이상 거래 감시, 피해 신고, 문제 해결 과정의 모든 정신적, 시간적 비용은 고스란히 970만 고객의 몫으로 전가됐다. 기업의 실패에 대한 책임을 고객에게 외부화하는, 심각한 윤리적 해이다. 

이번 사태는 기업의 불투명한 위기관리와 실효성 없는 국가 인증 제도가 빚어낸 예견된 참사다. 롯데카드와 금융 당국은 '확인 중'이라는 모호한 수사 뒤에 숨을 때가 아니다. 잠재적으로 유출됐을 정보의 종류와 구체적인 위험을 고객에게 '급진적으로 투명하게' 공개하고, 실질적인 피해 예방 조치를 선제적으로 제공해야 한다. 또한 규제 당국은 연례행사식의 정적 감사를 넘어, 실전적 모의 해킹을 의무화하는 등 ISMS-P 제도의 전면적인 수술에 착수해야 한다. '보여주기'식 보안이 아닌, 진짜 책임이 필요한 시간이다.