[앵커]
고객 297만 명의 개인정보가 털린 롯데카드는 해킹 시작 당일 국내 최고 보안 관리체계 인증을 받았던 것으로 드러나 인증 효력에 대한 의문이 일고 있습니다.
롯데카드 스스로 사고 후 보안체계에 취약점이 있었음을 시인했는데 어떻게 인증을 받을 수 있었고 인증이 소용없는 것 아니냐는 의구심이 일고 있습니다.
류환홍 기자가 보도합니다.
[기자]
롯데카드는 지난달 12일 금융보안원으로부터 국내 최고의 보안 관리체계 인증인 ISMS-P를 획득했다고 보도자료를 냈습니다.
이는 기업과 기관이 정보보호뿐만 아니라 개인정보 관리까지 체계적으로 잘하고 있는지를 평가하는 국가 공인 인증제도입니다.
하지만 바로 그날 해커는 롯데카드 서버를 대상으로 스캔을 시도했고 그 이후 고객 297만 명의 개인정보를 털어갔습니다.
그중 28만 명은 카드 결제 핵심 정보인 CVC까지 털려 부정사용 가능성에 노출돼 있습니다.
롯데카드는 해커가 짧게 여러 차례 공격하는 교묘한 수법을 썼고 보안 패치가 없는 빈틈을 노렸다며 보안체계에 허점이 있음을 시인했습니다.
[최용혁 / 롯데카드 정보보호실장: 일반적인 그런 침해 행위들하고는 좀 다른 그런 수법들을 여러 가지 활용을 했고요. 물론 최초에 저희가 아까 말씀드렸던 것처럼 웹 로직 상에서의 취약점에 대한 부분들은 저희가 관리가 잘 안됐던 부분이 있었던 거고.]
따라서 ISMS-P 인증을 어떻게 받을 수 있었는지와 이 인증이 과연 소용이 있는 것인지에 대한 의구심이 자연히 일고 있습니다.
이 인증을 수여하는 보안원 측도 인증을 받았다고 해서 해킹으로부터 완벽하게 보호받는 것은 아니라고 설명합니다.
[권기남 / 금융보안원 사이버대응본부장: ISMS-P와 관련해서는 어떤 기업의 정보보호 관리체계를 인증하는 건데 정보보호를 할, 업무를 할 준비가 되었다, 이렇게 보시면 되고요. 그 인증을 받았다고 해서 그게 악성코드나 해킹에 완벽히 안심할 수 있는 그런 인증은 아니거든요. 정보보호 관리체계 인증받은 기업들은 해킹이 언제든지 가능할 수 있다, 이렇게 보시면 될 것 같습니다.]
최근 잇따르는 해킹 사고를 계기로 개별 회사들의 보안 노력도 중요하지만 감시·감독 체계에 대한 점검과 보강 노력도 시급해 보입니다.