[보안뉴스]국회, KT-롯데카드 해킹 들여다본다...24일 청문회 개최

내용 요약

국회 과학기술정보방송통신위원회가 KT, SKT 등 이동통신사와 롯데카드의 해킹 사건을 심층 청문회로 조사한다. 주요 증인은 KT 대표 김영섭과 롯데카드 대표 조좌진이며, 이번 청문회는 통신·금융 분야 대규모 해킹 사태를 총괄적으로 규명한다.

핵심 포인트

• 무단 소액결제(소액 결제) 해킹: KT에서 발생한 사기 결제는 결제 게이트웨이와 인증 절차를 우회한 공격 사례이다.
• 이동통신사 네트워크 침해: SKT·KT의 통신 인프라가 내부망과 외부망에 대한 취약점으로 공격당했다.
• 금융 카드 사기: 롯데카드의 카드 데이터 탈취는 카드 정보 스니핑과 결제 인증 절차 변조를 포함한다.

기술 세부 내용

1️⃣ 무단 소액결제 (Unauthorized Small‑Amount Payment)

• 공격 흐름
  1. 피싱/스피어 피싱으로 고객의 인증 정보 탈취.
  2. 결제 게이트웨이 API에 대한 무단 접근(예: JWT 토큰 변조).
  3. 소액 결제(1,000원 이하) 트랜잭션을 다중 요청으로 발행 → 트랜잭션 블록체인에 기록.
• 방어 방안
  • 멀티 팩터 인증(OTP + 생체) 도입
  • API 접근 제어: IP 화이트리스트, 레이트 리미트
  • 실시간 트랜잭션 모니터링: 비정상적 금액 패턴 탐지 및 자동 차단

2️⃣ 이동통신사 네트워크 침해 (Telecom Network Breach)

• 공격 흐름
  1. 오픈 DNS/공용 Wi‑Fi를 통한 내부망 접근 포인트 확보.
  2. SNMP 및 RADIUS 서비스 취약점(버전 불일치, 기본 비밀번호) 악용.
  3. 데이터 캡처(패킷 스니핑) 및 VPN 우회를 통해 트래픽 탈취.
• 방어 방안
  • 내부망 세분화(VLAN, Zero‑Trust 모델)
  • 취약점 패치 주기화(자동 패치 스케줄링)
  • 침입 탐지/방지 시스템(IDS/IPS) 배치와 SIEM 로그 통합

3️⃣ 금융 카드 사기 (Financial Card Fraud)

• 공격 흐름
  1. 카드 데이터 스니핑(PCI DSS 위반) via POS 및 카드 리더기.
  2. 인증서 변조 및 3D Secure 우회 (Man‑in‑the‑Middle).
  3. 실시간 결제 승인 회피: 고가 지점과 연결된 결제 서버에 악성 스크립트 삽입.
• 방어 방안
  • EMV 및 Tokenization 적용으로 데이터 유출 최소화
  • TLS 1.3 및 HSTS 활용한 암호화 보강
  • 거래 실시간 모니터링 및 AI 기반 사기 탐지 도입

핵심 메시지
통신·금융 사안은 모두 인증 절차와 API 보안, 내부망 보호가 핵심이며, 지속적인 모니터링과 자동화된 대응이 필수다.

 

출처: http://www.boannews.com/media/view.asp?idx=139361&kind=&sub_kind=