고객 297만 명의 개인정보가 털린 롯데카드는 해킹 시작 당일 국내 최고 보안 관리체계 인증을 받았던 것으로 드러나 인증 효력에 대한 의문이 일고 있습니다. <br /> <br />롯데카드 스스로 사고 후 보안체계에 취약점이 있었음을 시인했는데 어떻게 인증을 받을 수 있었고 인증이 소용없는 것 아니냐는 의구심이 일고 있습니다. <br /> <br />류환홍 기자가 보도합니다. <br /> <br />[기자] <br />롯데카드는 지난달 12일 금융보안원으로부터 국내 최고의 보안 관리체계 인증인 ISMS-P를 획득했다고 보도자료를 냈습니다. <br /> <br />이는 기업과 기관이 정보보호뿐만 아니라 개인정보 관리까지 체계적으로 잘하고 있는지를 평가하는 국가 공인 인증제도입니다. <br /> <br />하지만 바로 그날 해커는 롯데카드 서버를 대상으로 스캔을 시도했고 그 이후 고객 297만 명의 개인정보를 털어갔습니다. <br /> <br />그중 28만 명은 카드 결제 핵심 정보인 CVC까지 털려 부정사용 가능성에 노출돼 있습니다. <br /> <br />롯데카드는 해커가 짧게 여러 차례 공격하는 교묘한 수법을 썼고 보안 패치가 없는 빈틈을 노렸다며 보안체계에 허점이 있음을 시인했습니다. <br /> <br />[최용혁 / 롯데카드 정보보호실장: 일반적인 그런 침해 행위들하고는 좀 다른 그런 수법들을 여러 가지 활용을 했고요. 물론 최초에 저희가 아까 말씀드렸던 것처럼 웹 로직 상에서의 취약점에 대한 부분들은 저희가 관리가 잘 안됐던 부분이 있었던 거고.] <br /> <br />따라서 ISMS-P 인증을 어떻게 받을 수 있었는지와 이 인증이 과연 소용이 있는 것인지에 대한 의구심이 자연히 일고 있습니다. <br /> <br />이 인증을 수여하는 보안원 측도 인증을 받았다고 해서 해킹으로부터 완벽하게 보호받는 것은 아니라고 설명합니다. <br /> <br />[권기남 / 금융보안원 사이버대응본부장: ISMS-P와 관련해서는 어떤 기업의 정보보호 관리체계를 인증하는 건데 정보보호를 할, 업무를 할 준비가 되었다, 이렇게 보시면 되고요. 그 인증을 받았다고 해서 그게 악성코드나 해킹에 완벽히 안심할 수 있는 그런 인증은 아니거든요. 정보보호 관리체계 인증받은 기업들은 해킹이 언제든지 가능할 수 있다, 이렇게 보시면 될 것 같습니다.] <br /> <br />최근 잇따르는 해킹 사고를 계기로 개별 회사들의 보안 노력도 중요하지만 감시·감독 체계에 대한 점검과 보강 노력도 시급해 보입니다. <br /> <br />YTN 류환홍입니다. <br /> <br /><br /><br />YTN 류환홍 (rhyuhh@ytn.co.kr)<br /><br />※ '당신의 제보가 뉴스가 됩니다' <br />[카카오톡] YTN 검색해 채널 추가 <br />[전화] 02-... (중략)<br /><br />▶ 기사 원문 : https://www.ytn.co.kr/_ln/0102_202509201142191209<br />▶ 제보 안내 : http://goo.gl/gEvsAL, 모바일앱, social@ytn.co.kr, #2424<br /><br />▣ YTN 데일리모션 채널 구독 : http://goo.gl/oXJWJs<br /><br />[ 한국 뉴스 채널 와이티엔 / Korea News Channel YTN ]
