[데일리시큐]롯데카드 297만 명 정보유출…평문 카드정보까지 유출

내용 요약

롯데카드가 온라인 결제 서버(WAS) 침해로 200 GB 규모의 고객 정보를 유출해 297만 명이 피해를 입었으며, 28 만 명은 카드 번호·유효기간·CVC 등 CNP 핵심 데이터가 포함되었습니다. 금융당국은 중대한 위법이 드러날 경우 최고 수준 제재를 예고했습니다.

핵심 포인트

• 200 GB 규모의 데이터 유출과 함께 카드 없는 결제(CNP)에 활용 가능한 핵심 정보가 포함
• WAS 침입 → 악성 프로그램 설치 → 순차적 데이터 반출이라는 공격 흐름
• 금융당국이 “최대 수준 제재” 방침을 밝히며 규제 대응 가속화

기술 세부 내용

1️⃣ WAS (Web Application Server) 보안

• 인증·인가 강화
  • 다중 인증(MFA) 도입
  • 역할 기반 접근 제어(RBAC) 적용
• 취약점 관리
  • CVE 업데이트 주기적 적용
  • OWASP Top 10 대응(예: XSS, SQL‑Injection)
• 보안 인프라
  • Web‑Application 방화벽(WAF) 및 IDS/IPS 설정
  • 로그 수집·모니터링, SIEM 연동

2️⃣ 악성프로그램 설치 및 데이터 반출 메커니즘

1. 권한 상승
   • 취약 포트/서비스를 통해 관리자 권한 획득
2. 백도어 설치
   • C&C(커맨드 & 컨트롤) 서버와 암호화 채널 구축
3. 데이터 수집
   • 파일 시스템 스캔 → 카드번호, 유효기간, CVC 등 핵심 필드 추출
   • 압축·암호화(예: AES‑256) 후 전송 준비
4. 데이터 전송
   • 대역폭 조절·시간 분산(분 단위)으로 200 GB를 순차 반출
   • C&C 서버로 전송 후 삭제

3️⃣ CNP (Card‑Not‑Present) 데이터 위험성

• 즉시 사용 가능
  • 온라인 결제에서 카드 없이 인증되는 방식이므로, 탈취 시 바로 결제 인증이 가능
• 결제 인증 우회
  • 카드번호·유효기간·CVC를 조합해 ‘트릭’ 방식으로 3D Secure 등 보안 절차를 회피
• 보안 강화 방안
  • 토큰화(Tokenization) 및 동적 암호화 도입
  • 실시간 모니터링 및 이상거래 탐지 시스템 구축

위와 같은 단계별 분석을 통해 WAS 보안 강화, 악성 프로그램 탐지, 그리고 CNP 데이터 보호를 체계적으로 수행해야 합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200591