[데일리시큐][국감] 롯데카드 해킹, “대주주 책임 회피 안 돼”…정보보호 투자 근본 개선 필요

내용 요약

롯데카드 대규모 개인정보 유출이 국정감사 현장에서 마이크로비즈니스파트너스(MBK Partners)의 책임 논제로 확대되었다. 의원들은 보안 관리 부실과 예산 삭감이 사고를 초래했다고 지적하며, 김병주 회장과 조좌진 대표가 증인으로 출석해 사고 경위와 재발 방지책을 설명했다.

핵심 포인트

• 보안 예산 삭감: 정보보호 예산이 0% 증가하면서 보안 인프라 및 인력 강화가 미흡해졌다.
• 관리 체계 부재: 해킹 사고에 대한 사전 예방·대응 절차가 체계적이지 못했다.
• 책임소재 논쟁: 국정감사에서 주주인 MBK Partners와 롯데카드 대표가 각각 책임을 묻는 상황이 발생했다.

기술 세부 내용

1️⃣ Zero‑Trust Architecture

정의
Zero‑Trust(제로 트러스트)는 “내부·외부를 구분하지 않고 항상 ‘믿지 않는다’는 가정” 아래 구축되는 보안 모델이다.

핵심 원칙
1. Least Privilege – 사용자는 업무에 필요한 최소한의 권한만 부여받는다.
2. Micro‑Segmentation – 네트워크를 작은 영역으로 분할해 lateral movement(횡적 이동)을 차단한다.
3. Continuous Authentication & Authorization – 세션이 끝날 때마다 인증·인가를 반복한다.
4. Encryption Everywhere – 데이터 전송·저장 시 암호화 적용.

구현 단계

단계	설명
1️⃣ 정책 정의	비즈니스 요구사항에 따라 최소권한 원칙 적용.
2️⃣ 네트워크 분할	VLAN/SD‑WAN을 이용해 업무별 세그먼트 생성.
3️⃣ MFA 도입	모든 접근에 다요소 인증(예: OTP, 생체인증).
4️⃣ 데이터 마스킹	개인정보는 필요 시 가명화 또는 마스킹.
5️⃣ 모니터링 & 알림	실시간 접근 로그를 수집·분석해 비정상 동작 탐지.
6️⃣ 자동화된 대응	SIEM과 연계해 규칙 기반 자동 차단 실행.

적용 시 기대 효과
- 내부자 위협 및 랜섬웨어 확산 방지
- 보안 사고 발생 시 피해 규모 최소화
- 컴플라이언스(PCI‑DSS, GDPR 등) 달성 용이

2️⃣ ️ Security Information and Event Management (SIEM)

정의
SIEM은 보안 이벤트와 로그를 수집·정규화해 통합 분석하고, 실시간으로 위험을 탐지·알림하는 솔루션이다.

핵심 구성 요소
1. Log Collection – 서버, DB, 네트워크 장비 등에서 로그 수집.
2. Normalization – 다양한 로그 포맷을 통합 구조로 변환.
3. Correlation Engine – 사전 정의된 룰·머신러닝으로 이벤트 연관 분석.
4. Alerting & Dashboards – 시각화 대시보드와 자동 알림 제공.
5. Incident Response Workflow – 자동화된 태스크/플로우로 대응 가속.

구현 절차

단계	주요 작업
1️⃣ 요구사항 정의	비즈니스 목표, 규제 요구, 위협 모델 파악.
2️⃣ 로그 소스 선정	SOC 인프라, 클라우드, 모바일, IoT 등 포괄.
3️⃣ 데이터 파이프라인 구축	Logstash/Fluentd 등으로 수집 파이프라인 설정.
4️⃣ 룰 세팅	MITRE ATT&CK 기반 룰, KPI, SLA 설정.
5️⃣ 대시보드 커스터마이즈	운영팀에 맞는 시각화 구성.
6️⃣ 자동화 연동	SOAR, Ticketing, 방화벽 등과 연결.

실제 사고 대응 시 활용 예시
- 해킹 경로 추적: 로그인 실패 패턴을 통해 침입자 IP와 접근 경로를 재구성.
- 침해 탐지: 데이터베이스 쿼리 로그에서 비정상적인 SELECT * 패턴을 포착해 조기 경고.
- 위험 진단: 보안 이벤트의 상관 관계를 통해 패스워드 재사용 여부, 내부자 위협 여부를 평가.

3️⃣ Incident Response Plan (IRP)

정의
IRP는 보안 사고 발생 시 조직이 따라야 할 단계적 절차를 문서화한 계획이다.

핵심 단계

단계	내용
인식(Detection & Reporting)	사고 징후를 감지하고 내부 팀에 즉시 보고.
격리(Isolation)	피해 시스템을 네트워크에서 분리해 확산 차단.
진단(Investigation)	포렌식 분석, 로그 수집, 증거 확보.
복구(Recovery)	시스템 복원, 패치 적용, 보안 설정 재검토.
통지(Communication)	내부 관계자, 법적 요구, 고객, 언론에 통보.
학습(Post‑mortem)	사고 원인 분석, 개선 방안 도출, 정책 업데이트.

구현 팁
- 정기적 교육: IR 팀과 일반 직원 대상 시뮬레이션 훈련.
- 플레이북 준비: 각 사고 유형별 대응 절차를 상세화한 문서 저장.
- 자동화: 인시던트 대응 시나리오를 SOAR로 자동화해 대응 시간 단축.
- 커뮤니케이션 프로토콜: 외부 통지 시 사용될 언어, 연락망, 법적 책임 범위 명시.

4️⃣ ️ Patch Management & Vulnerability Scanning

정의
Patch Management는 소프트웨어 취약점에 대한 보안 패치를 신속히 배포·적용하는 프로세스이며, Vulnerability Scanning은 시스템 취약점을 자동으로 탐지한다.

핵심 프로세스
1. Inventory – 보유한 장비·소프트웨어 목록화.
2. Vulnerability Assessment – Nessus, OpenVAS 등으로 스캔.
3. Prioritization – CVSS 점수, 비즈니스 영향도 기준으로 우선순위 결정.
4. Patch Deployment – 자동화 툴(WSUS, Ansible 등)으로 배포.
5. Verification – 스캔 후 패치 적용 여부 확인.
6. Documentation – 패치 이력, 검증 결과 기록.

사례 적용
- PCI‑DSS 요건: 카드 정보 처리 환경은 매 3개월마다 스캔과 패치를 수행해야 함.
- 내부자 공격 대응: 최신 취약점이 악용될 가능성을 최소화해 내부자 위협 감소.

5️⃣ Encryption & Key Management

정의
Encryption은 데이터를 암호화해 무단 접근 시 무의미하게 만드는 기술이며, Key Management는 암호 키를 안전하게 생성·보관·배포·폐기하는 프로세스이다.

핵심 원칙
- 데이터 at Rest: 디스크, SSD, 백업 매체를 AES‑256 등으로 암호화.
- 데이터 in Transit: TLS 1.3, VPN 등으로 전송 경로 보호.
- Key Lifecycle: 키 생성, 로테이션, 폐기 정책 수립.
- Access Control: 키에 대한 접근은 Least Privilege와 MFA 적용.

실무 적용
- DB 암호화: Oracle Transparent Data Encryption (TDE) 혹은 MySQL InnoDB 엔코딩.
- 클라우드 KMS: AWS KMS, Azure Key Vault, GCP Cloud KMS 사용.
- Hardware Security Module (HSM): 고급 암호화 환경에서 키를 물리적으로 격리.

종합 정리

롯데카드의 유출 사건은 예산 삭감과 관리 체계 부재가 복합적으로 작용한 결과다.
- Zero‑Trust와 SIEM을 통해 보안 격리를 강화하고 실시간 탐지를 수행하며,
- Incident Response Plan과 Patch Management를 통해 사고 발생 시 신속히 대응하고, - Encryption & Key Management를 통해 데이터 자체를 보호한다.

위 기술들을 체계적으로 도입·운영하면 재발 위험을 현저히 줄이고, 국가 차원에서 요구되는 개인정보 보호 의무를 충실히 이행할 수 있다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=201382