1. 롯데카드 2.96M 개인정보 유출 사태
무슨 일이 있었을까?
롯데카드가 2,960,000명의 고객 정보를 유출했다고 밝혔습니다. 가장 충격적인 점은 평문 카드정보까지가 유출되었다는 것입니다. 카드 번호, 유효기간, CVV까지 모두 외부에 노출되었다면, 한 번의 클릭으로 누구나 해당 카드로 결제할 수 있는 위험이 있었습니다.
왜 이렇게 안됐다?
공식 보도에 따르면, 내부 데이터베이스에 AES-256 암호화가 적용돼 있었음에도 불구하고, 암호화 키 관리 체계가 부실했습니다. 키 자체가 평문 파일에 저장돼 있었고, 키가 노출되면서 데이터까지 그대로 드러난 셈이죠.
정부·금융권은 어떻게 대응할까?
금융당국은 보안체계 근본 개선을 요구하고, 금융지주회사는 자회사 간 공동 대응 체계를 마련하라고 지시했습니다. 또한, LotteCard는 5년간 1100억원을 보안에 투자하겠다고 발표했는데, 실제로 어떤 방어가 추가될지 주목됩니다.
2. KT 소액결제 해킹 & IMEI 유출
사건의 흐름
KT 소액결제 서비스가 8월 5일 시작된 해킹 사건이 드러났습니다. 용의자는 불법 기지국 장비를 활용해 고객의 IMEI를 탈취했고, 이를 통해 무단 결제를 시도했습니다. 109건 이상의 추가 피해가 발생했습니다.
IMEI란 무엇일까?
IMEI(International Mobile Equipment Identity)는 휴대폰을 식별하는 고유 번호입니다. 이 번호가 유출되면 스푸핑이 가능해지며, 악의적으로 인증 절차를 우회할 수 있습니다.
대응 방안
정부는 휴대폰 소액결제에 2차 인증 의무화를 추진 중입니다. KT는 현재 2차 인증을 적용해 결제 보안을 강화할 예정이며, 해커 조직의 명칭은 ‘스캐터드 랩서스$’가 공개되었습니다.
3. Chrome 제로데이 CVE‑2025‑10585
이 문제가 왜 중요한가?
구글 Chrome이 CVE‑2025‑10585라는 제로데이 버그를 발견하고, 즉시 패치를 배포했습니다. 이 버그는 스마트 렌더링 엔진에서 발생했으며, 공격자가 원격 코드 실행을 할 수 있는 잠재력을 가지고 있었습니다.
제로데이의 의미
제로데이는 보안 취약점이 발견되어도 아직 패치가 나오지 않은 상태를 말합니다. 공격자는 이 시점을 노려 악성코드를 주입하거나 세션 하이재킹을 시도합니다. 따라서, 패치가 내려지기 전에는 사용자가 최신 버전으로 즉시 업데이트하는 것이 필수입니다.
결론
2025년 보안은 데이터 유출, 결제 시스템 해킹, 제로데이 취약점까지 다방면으로 확산되고 있습니다.
- 롯데카드 사건은 암호화와 키 관리의 중요성을 일깨워 줍니다.
- KT 해킹은 모바일 인증 체계와 IMEI 보호의 필요성을 강조합니다.
- Chrome 제로데이는 항상 최신 업데이트를 유지해야 함을 상기시킵니다.
이러한 사례들을 통해 우리는 “보안은 한 번의 실수로 끝나지 않는다”는 사실을 다시금 확인할 수 있습니다. 앞으로도 기업·정부·개인 모두가 지속적인 보안 의식과 투자를 이어가는 것이 필수적입니다.
'보안이슈' 카테고리의 다른 글
| [데일리시큐][단독] KT 가짜기지국 해킹…중국 블랙마켓 실제 상황 공개, 2018년부터 ‘한국 통신사 전용’ 가짜기지국 불법 판매 정황 드러나 (0) | 2025.09.22 |
|---|---|
| [보안뉴스]방통위, 롯데카드 유출 ‘연계정보(CI)’ 관리 실태 점검한다 (0) | 2025.09.22 |
| [데일리시큐]금융당국 “롯데카드 296만명 개인정보 유출 사태…금융권 보안체계 근본 개선 요구” (0) | 2025.09.21 |
| [보안뉴스]정부, “데이터센터 옆 전자파 안전 기준 1% 수준” (0) | 2025.09.21 |
| [보안뉴스]대법, “美 IP기업, 한국에 세금 내라”...韓서 번 특허료, 韓서 과세 원칙 (0) | 2025.09.20 |