[데일리시큐]롯데카드 해킹, 피해 규모 “초기 추정치 보다 훨씬 커”…당국 발표 임박

내용 요약

롯데카드 온라인 결제 서버가 Oracle WebLogic 취약점(CVE‑2017‑10271)을 이용해 공격받아 웹셸이 심어졌으며, 내부 결제 시스템에 접근해 데이터가 초기 추정보다 크게 유출된 것으로 밝혀졌다. 금융당국은 현장 검사를 통해 확대 정황을 확인하고, 피해자 보호·보상 방안을 곧 발표할 예정이다.

핵심 포인트

• CVE‑2017‑10271: 구형 Oracle WebLogic에 존재하던 원격 코드 실행 취약점이 핵심 공격 벡터였다.
• 웹셸 삽입: 공격자는 RCE를 통해 웹셸을 설치해 내부 결제 시스템에 무단 접근했다.
• 데이터 유출 규모 확대: 초기 보고보다 훨씬 큰 범위의 고객 데이터가 유출돼 금융당국이 현장 검사를 진행 중이다.

기술 세부 내용

1️⃣ CVE‑2017‑10271 (Oracle WebLogic Remote Code Execution)

• 취약점 개요
  • Oracle WebLogic Server 10.3.6 이하 버전에서 발생하는 취약점.
  • 악의적 HTTP 요청(HTTP 1.1 CONNECT 메서드)을 통해 java.lang.ClassNotFoundException이 발생하도록 유도하면, 공격자는 JVM 내부에서 원격 코드를 실행할 수 있다.
• 공격 시나리오
  1. 타깃 서버에 정교한 HTTP 요청을 전송.
  2. WebLogic 내부에서 클래스 로더가 비정상적으로 동작해 공격 코드가 실행됨.
  3. 공격자는 서버 상에서 셸을 얻어 웹셸 파일을 업로드하거나 직접 명령을 실행할 수 있다.
• 보안 대책
  • 최신 패치(12.2.1.4 등) 적용 및 불필요한 서비스 비활성화.
  • WebLogic Admin Console 접근 제한, 방화벽 규칙으로 HTTP 1.1 CONNECT 차단.

2️⃣ WebShell 설치 및 내부 결제 시스템 접근

• 웹셸 정의
  • 웹 애플리케이션에 삽입되어 원격에서 명령을 실행하거나 파일을 업로드·다운로드할 수 있는 스크립트 파일.
  • 흔히 PHP, JSP, ASP, Java Servlet 형태로 존재한다.
• 롯데카드 사례
  • 공격자는 RCE를 통해 /usr/local/weblogic/에 shell.jsp 같은 웹셸을 업로드.
  • 웹셸을 통해 내부 결제 모듈(결제 처리 로직, 카드 승인 서버)과 연결된 데이터베이스에 접근, 고객 카드 정보 및 거래 내역을 수집.
• 감지·대응 절차
  1. 로그 모니터링: weblogic.log, access.log에서 비정상적 접속·명령 실행 기록 탐지.
  2. 파일 무결성 검사: 웹서버 파일에 무단 변경 여부 확인.
  3. 네트워크 세그멘테이션: 결제 서버와 데이터베이스를 별도 VLAN에 격리.
  4. 패치 및 취약점 점검: 취약점 스캐너로 재점검 후 취약점 제거.

위와 같은 취약점 악용과 웹셸 설치 과정이 롯데카드의 대규모 데이터 유출을 초래했으며, 금융당국은 피해자 보호·보상 대책을 신속히 마련 중이다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200533