[보안뉴스]롯데카드, 5년간 1100억원 보안 투자 약속...조좌진 대표 일문일답 “사임 각오 쇄신 단행”

내용 요약

롯데카드가 297만명 회원 데이터 유출 사고를 사과하고, 28만명의 계좌가 부정 사용 위험에 노출된 것을 확인했다. 피해자는 전액 보상받으며 10개월 무이자 할부 혜택을 제공받는다. 이후 5년간 1,100억 원을 정보보호에 투입하기로 약속했다.

핵심 포인트

• 데이터 유출 규모와 부정 사용 가능성: 297만명의 회원 정보가 유출되었고, 28만명은 부정 사용 위험에 처해 있다.
• 피해 보상 정책: 피해자는 전액 보상과 10개월 무이자 할부 등 실질적 보상을 제공받는다.
• 전략적 보안 투자: 5년간 1,100억 원을 정보보호에 투자해 IT 대비 15% 규모의 예산을 확보한다.

기술 세부 내용

1️⃣ Security Incident Response & Data Breach Management

• 인시던트 인식
  • 로그 분석 도구(SIEM)를 통해 비정상 트래픽 및 로그인 패턴을 탐지.
  • 자동 알림 시스템으로 보안팀에 즉시 전달.
• 정체와 격리
  • 해당 서버/서비스를 일시적으로 차단해 피해 확산 방지.
  • 네트워크 분리(소프트웨어 정의 네트워크)를 활용해 악성 트래픽 차단.
• 원인 분석 & 복구
  • 포렌식 툴(EnCase, FTK)으로 파일 시스템, 레지스트리, 메모리 스냅샷을 조사.
  • 취약점(공식 CVE)과 패치 상태를 검토해 재발 방지.
• 피해 보상 프로세스
  • 고객에 대한 피해 사실을 알리고, 보상 금액 및 할부 조건을 명시.
  • 자동 보상 처리(전자 결제 시스템 연동)으로 시간을 절약.
• 사후 보고 & 개선
  • 외부 감사인과 협력해 사건 보고서 작성.
  • 보안 정책, 접근 제어, 다중 인증(MFA) 강화 방안 도출.

2️⃣ Cybersecurity Investment & Risk Management Strategy

• 예산 배분
  • 1,100억 원을 5년간 연속 투자: 30%는 인프라(보안 장비, 클라우드 보안), 40%는 인력(보안 엔지니어, 교육), 30%는 위협 인텔리전스·연구.
• 위험 평가 모델
  • ISO 27005 기반 위험 매트릭스를 사용해 자산, 위협, 취약점, 영향도를 정량화.
  • 재무 손실·명성 손실·규제 위반 위험을 통합 평가.
• 보안 아키텍처
  • Zero‑Trust 모델 도입: 경계가 없는 접근 제어, 사내외 트래픽 암호화(SSL/TLS, IPsec).
  • 마이크로세분화(Micro‑segmentation)와 내부 방화벽으로 내부 위협 차단.
• 지속적 개선
  • Annual Security Audit, Red‑Team / Blue‑Team 연습으로 보안 역량 점검.
  • 벤치마크(PCI‑DSS, NIST CSF)와 비교해 성과를 정량화하고 KPI를 설정.
• 거버넌스
  • 보안 위원회(CTO, CISO, 법무팀 포함) 정기 회의로 정책 승인 및 예산 관리.
  • 외부 규제(개인정보 보호법, 금융감독원 지침)와의 정렬을 위한 컴플라이언스 점검.

이 두 핵심 기술 영역이 롯데카드가 발생한 데이터 유출 사고를 신속히 대응하고, 장기적으로 보안 리스크를 체계적으로 관리·감소시키는 기반이 됩니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139336&kind=&sub_kind=