17일 지나서야 인지한 롯데카드
내부통제 적절성 여부 도마
신용카드업계 6위 롯데카드에서 해킹 사고가 발생했다. 고객정보 유출 우려와 함께 내부 통제 시스템 부실 논란이 커지고 있다. 이번 사태와 롯데카드와 홈플러스의 대주주인 MBK파트너스의 경영방식이 무관하지 않다는 시선도 나온다.
4일 관련 업계에 따르면, 롯데카드가 해킹 피해 사실을 인지한 시점은 8월 말이다. 롯데카드는 1일에야 이를 금융감독원에 신고했다.
롯데카드는 자사 홈페이지 공지를 통해 “최근 온라인 결제 시스템에서 외부 해커의 침투 흔적이 발견돼 조사가 진행 중”이라며 “현재까지 확인된 바로는 개인정보 유출 사실은 없다”고 밝혔다.
그러나 일각에서 롯데카드 보안 대응 체계에 문제가 있는 게 아니냐는 지적이 나온다. 이번 해킹이 8년 전 이미 패치가 배포된 웹 애플리케이션 서버 취약점을 이용한 공격이었다는 분석이 나오면서다. 악용된 취약점은 2017년 오라클이 자사 웹 애플리케이션 서버 ‘웹로직’에 대해 발표한 취약점 ‘CVE-2017-10271’이다.
해킹 시점과 인지 시점 사이에 2주 이상 시간차가 발생한 점도 논란이다. 금융당국이 국회에 보고한 내용에 따르면, 해킹에 따른 내부 파일 유출은 지난달 14일 오후 7시쯤 시작돼 15일까지 2차례에 걸쳐 이루어졌다. 유출 시도는 16일까지 계속됐다. 그러나 롯데카드는 26일 서버 점검 중 악성코드를 인지했고, 31일 데이터 유출 흔적을 확인해 9월 1일에야 금융당국에 신고했다.
이에 내부통제 시스템이 적절히 작동했는지 여부가 쟁점으로 떠오르고 있다. 민감한 결제 서버가 악성코드에 감염됐는데도 17일간 이를 파악하지 못했다는 점은 리스크이기 때문이다.
이 사건은 최근 법정관리(기업회생)를 신청한 홈플러스 사태와 맞물려, 두 회사의 대주주인 MBK파트너스의 ‘관리형 투자’ 방식에 대한 비판으로도 번지고 있다. 롯데카드는 지난 2019년 롯데그룹 계열사에서 분리돼 사모펀드인 MBK파트너스에 인수됐다.
금감원과 금융보안원은 롯데카드 현장검사에 착수해 고객정보 유출 여부 등을 확인하고 있다. 고객 데이터베이스(DB)를 관리하는 부분과 서버를 집중 관리하는 계정 등이 해킹됐다고 보는 것으로 전해졌다.
![달러가 움직이면 닭이 화내는 이유?…계란값이 알려준 진실 [에그리씽]](https://img.etoday.co.kr/crop/140/88/2182675.jpg)
![이재명 대통령 직무 긍정평가 62%…취임 6개월 차 역대 세 번째[한국갤럽]](https://img.etoday.co.kr/crop/140/88/2263961.jpg)
![겨울 연금송 올해도…첫눈·크리스마스니까·미리 메리 크리스마스 [해시태그]](https://img.etoday.co.kr/crop/140/88/2264546.jpg)
![대통령실 "정부·ARM MOU 체결…반도체 설계 인력 1400명 양성" [종합]](https://img.etoday.co.kr/crop/140/88/2264474.jpg)
![[BioS]오스코텍, 임시주총서 "정관변경·이사선임 부결"](https://img.etoday.co.kr/crop/85/60/1565309.jpg)
!['유튜브 리캡' 열기 활활…올해 연말 결산, 당신의 취향은? [솔드아웃]](https://img.etoday.co.kr/crop/300/170/2264572.jpg)
![MAX얼라이언스-국민성장펀드 연계 간담회 [포토]](https://img.etoday.co.kr/crop/300/190/2264068.jpg)