목차
한 달 사이 터진 KT와 롯데카드의 연쇄 해킹 사고가 국민들의 불안감을 극도로 높이고 있다. 롯데카드는 지난 18일 해킹으로 인해 전체 회원의 30%에 해당하는 297만 명의 정보가 유출되었다고 공식 발표했다. 유출된 데이터는 200GB에 달하며, 이 중 28만 명은 카드번호와 유효기간, CVC 번호, 주민등록번호까지 노출되어 부정사용 위험이 높다.
KT의 경우 불법 초소형 기지국을 통한 소액결제 피해자가 362명으로 늘어나 누적 피해액이 2억 4천만 원에 달한다. 정부는 사태의 심각성을 인정하고 국가안보실을 중심으로 한 범부처 대응 체계를 가동했다.
특히 AI 기술을 악용한 해킹 기법이 정교해지는 반면 금융·통신업계의 보안 투자는 여전히 뒤처져 있다는 것이 전문가들의 진단이다. KT와 롯데카드 계속되는 해킹의 구조적 원인과 근본적 해결책을 모색해야 할 시점이다.
잇따른 해킹 사고가 드러낸 한국 보안 시스템의 민낯
며칠 전 휴대폰에 롯데카드로부터 긴급 문자가 도착했다. "고객님의 개인정보 보호를 위해 긴급히 연락드립니다"라는 문구로 시작되는 메시지를 본 순간, 마음이 덜컥 내려앉았다. 불과 몇 주 전 KT 소액결제 해킹 사고 소식을 들었던 터라 또 다른 보안 사고가 터진 것은 아닌지 불안감이 엄습했다.
다음날 롯데카드가 공식 발표한 내용은 우려했던 것보다 훨씬 심각했다. 297만 명이라는 천문학적 규모의 고객 정보가 유출된 것이다.
1. 2025년 한국을 강타한 연쇄 해킹 사고의 전말
올해 8월부터 시작된 일련의 해킹 사고는 한국의 사이버 보안 현주소를 적나라하게 보여주고 있다. KT는 8월 27일부터 불법 초소형 기지국(펨토셀)을 이용한 소액결제 해킹으로 362명의 피해자가 발생했다고 발표했다. 피해 금액만 2억 4천만 원에 달한다.
해커들은 경기 광명시와 서울 금천구 일대에서 불법 기지국 2대를 가동하여 새벽 시간대에 집중적으로 공격을 감행했다. 특히 중국 국적 남성 2명이 구속되면서 국제적 해킹 조직의 개입 가능성도 제기되고 있다.
2. 롯데카드 해킹의 충격적 피해 규모
롯데카드 사태는 더욱 심각하다. 지난달 12일 최초 해킹 공격을 받은 후 2주간 인지하지 못했고, 파일 유출을 확인한 후에도 17일이 지나서야 정확한 피해 규모를 파악했다. 전체 960만 회원 중 297만 명의 정보가 유출되었으며, 이 중 28만 명은 카드번호, 유효기간, CVC 번호, 주민등록번호까지 노출되어 즉시 카드 재발급 조치가 이뤄지고 있다.
해커들은 2017년부터 보안패치가 누락된 해외 소규모 결제 시스템을 통해 웹셀을 설치하고 시스템에 침투했다.
3. 정부의 초강경 대응과 업계 비상
연이은 해킹 사고에 정부가 강력한 대응에 나섰다. 과학기술정보통신부와 금융위원회는 19일 합동 브리핑을 통해 "통신과 금융 등 국민 생활에 밀접한 분야에서 침해사고가 잇따르는 상황을 엄중히 받아들이고 있다"며 보안 체계 전반을 원점에서 재검토하겠다고 선언했다.
국가안보실을 중심으로 한 범부처 대응 체계도 가동되었다. 징벌적 과징금 제도 도입과 CISO 권한 강화, 보안 공시 의무 확대 등 강력한 제재 방안도 예고했다.
해킹 기술의 진화와 보안 시스템의 구조적 한계
연쇄 해킹 사고의 근본 원인을 파악하기 위해서는 공격 기법의 변화와 방어 체계의 한계를 동시에 살펴봐야 한다.
세종대학교 정보보호학과 윤주범 교수는 "AI 등 신기술이 범죄 수법에 활용되면서 사이버 공격이 한층 정교하고 빠르게 진화하고 있다"며 "자동화된 해킹 툴과 AI를 통한 악성 코드 제작은 범죄 집단의 진입 장벽을 낮추고, 공격 규모를 키우는 요인"이라고 분석했다. 반면 금융권과 통신사의 보안 체계는 여전히 과거 수준에 머물러 있다는 것이 전문가들의 공통된 진단이다.
1. KT 해킹의 정교한 공격 시나리오
KT 사건은 불법 초소형 기지국을 이용한 새로운 형태의 공격으로 주목받고 있다. 해커들은 펨토셀이라는 소형 기지국을 KT 내부망에 연결한 후 새벽 시간대 집중적으로 IMSI(국제이동가입자식별번호)와 IMEI(국제단말기식별번호), 휴대폰 번호를 탈취했다.
이렇게 확보한 정보로 소액결제 인증 과정을 우회하여 부정 결제를 진행했다. 민관합동조사단은 현재 불법 기지국이 어떻게 내부망에 접속했는지, 통신을 어떤 방식으로 탈취했는지 집중 조사하고 있다.
2. 롯데카드 웹셀 공격의 은밀한 침투 과정
롯데카드 해킹은 전형적인 웹셀 공격 사례로 분석된다. 해커들은 지난달 12일 오전 3시 43분 온라인 결제 서버를 통해 최초 공격을 시도한 후, 다음날 웹셀이라는 악성코드를 서버에 설치했다. 웹셀은 보안 시스템을 우회하여 공격자가 별도 인증 절차 없이 시스템에 접속할 수 있게 해주는 백도어 역할을 한다.
이후 해커들은 14일과 15일 Wget 방식으로 내부 파일을 유출했으며, SFTP 프로토콜을 사용해 200GB의 대용량 파일을 작은 단위로 쪼개서 빼돌렸다.
3. 보안 투자 부족과 인력 전문성 한계
두 사건 모두 기본적인 보안 관리 소홀이 결정적 원인으로 지목된다. 롯데카드의 경우 2017년부터 사용하지 않던 해외 결제 시스템의 보안패치를 누락한 것이 침입 경로가 되었다.
조좌진 롯데카드 대표는 "해당 페이사와의 거래가 계속 없었기 때문에 업그레이드해야 하는지 파악할 수 없었다"며 "정보보호 관련 금융당국 점검에서도 이 부분은 항상 빠져있었다"라고 해명했지만, 이는 결국 보안 관리의 사각지대를 방치했다는 것을 의미한다.
근본적 보안 체계 개혁을 위한 실효성 있는 대응 방안
연이은 해킹 사고는 단순한 기술적 문제를 넘어 한국의 디지털 인프라 전반에 대한 근본적 성찰을 요구하고 있다.
류제명 과기정통부 2 차관이 "보안 없이는 디지털 전환도, AI 강국도 불가능하다"라고 강조한 것처럼, 이제 보안은 선택이 아닌 생존의 문제가 되었다. 정부와 기업, 그리고 국민이 힘을 합쳐 근본적인 체질 개선에 나서야 할 시점이다.
1. 정부 차원의 강력한 제도 개혁
정부는 이미 강력한 개혁 의지를 표명했다. 기업이 침해 사실을 늦게 신고하거나 숨길 경우 과태료 처분을 강화하고, 해킹 정황을 정부가 직접 확보하면 기업 신고 없이도 조사에 착수할 수 있도록 제도를 개선한다.
특히 징벌적 과징금 제도 도입은 기업들이 보안을 비용이 아닌 필수 투자로 인식하게 만드는 강력한 동기가 될 것이다. 롯데카드의 경우 최대 800억 원대 과징금이 예상되는 상황이다.
2. 기업의 보안 투자 확대와 전문 인력 양성
통신 3사가 대대적인 보안 투자에 나선 것은 고무적이다. SKT와 LG유플러스가 7000억 원, KT가 1조 원 규모의 보안 투자를 단행하고 있다. 롯데카드도 향후 5년간 1100억 원을 투자하겠다고 약속했다.
하지만 단순한 예산 증액을 넘어 보안 전문 인력 확충과 CISO 권한 강화가 병행되어야 한다. 롯데카드의 정보보호 인력이 2019년 16명에서 올해 30명으로 늘었지만, 960만 회원을 보호하기에는 여전히 부족하다.
3. AI 기반 능동적 보안 시스템 구축
공격자들이 AI를 악용하는 만큼 방어 측도 AI 기술을 적극 활용해야 한다. 과기부가 발표한 'AI 기술을 적극 활용한 국가 보안 체계 고도화' 계획이 중요한 이유다. 기존의 사후 대응 중심에서 벗어나 AI를 통한 이상 징후 사전 탐지, 실시간 위협 분석, 자동화된 대응 시스템 구축이 필요하다. 특히 금융권과 통신업계는 업종별 특성을 고려한 맞춤형 AI 보안 설루션 개발에 집중해야 한다.
결국 이번 사태를 통해 우리는 KT와 롯데카드 계속되는 해킹의 근본 원인이 개별 기업의 보안 소홀을 넘어 국가 차원의 디지털 보안 생태계 전반의 구조적 문제임을 깨달았다.