2020년 이후 국내 카드사 해킹 피해 사례 분석 | 개인정보 유출 실태와 대응 전략
본문 바로가기
카테고리 없음

2020년 이후 국내 카드사 해킹 피해 사례 분석 | 개인정보 유출 실태와 대응 전략

by 둥타니의 신기한 세계 2025. 9. 23.

    [ 목차 ]
반응형

 

 

 

안녕하세요! 금융 보안에 관심이 많은 독자 여러분을 위해 2020년 이후 발생한 국내 카드사 해킹 피해 사례들을 상세히 분석해드리겠습니다. 최근 롯데카드 해킹 사건까지 포함하여 주요 사건들의 원인, 피해 규모, 대응 과정을 꼼꼼히 살펴보며, 개인이 취할 수 있는 보안 대책까지 함께 알아보겠습니다.

 

 

1. 2020년 이후 카드사 해킹 동향 개관

2020년 이후 국내 카드사들은 디지털 금융 서비스 확산과 함께 새로운 보안 위협에 직면하게 되었습니다.

특히 코로나19 팬데믹으로 인한 언택트 서비스 급증과 온라인 결제 시스템의 확대는 해커들에게 새로운 공격 기회를 제공했습니다.

 

주요 변화 트렌드:

  • 내부자에 의한 정보 유출에서 외부 해킹 공격으로 패턴 변화
  • 대용량 데이터 일괄 유출에서 소량 장기간 유출로 수법 정교화
  • 단순 개인정보에서 결제 정보, 금융거래 내역까지 타겟 확대

 

 

2. 주요 카드사 해킹 사건 타임라인

2020년 6월: 대규모 금융 정보 유출 사건

2020년 6월, 우리은행을 해킹하다 구속된 이모씨의 여죄 수사 과정에서 국내 수많은 카드 및 멤버십 가맹점, 은행 ATM 등에 악성코드를 설치해 정보를 탈취한 사실이 드러났습니다.

 

피해 규모:

  • 카드 트랙 정보 412억 건 이상 유출
  • 카드 번호, 유효 기간, 비밀번호 암호화값 포함
  • 단순 계산으로도 40바이트×412억 건의 막대한 정보량

 

2024년 4월: 우리카드 개인정보 유출

2024년 4월, 우리카드에서 개인정보 유출 사건이 발생했으나 구체적인 피해 규모나 원인에 대한 상세 정보는 제한적으로 공개되었습니다.

 

2025년 8월: 롯데카드 대규모 해킹 사건

2025년 8월 14일부터 15일경 롯데카드 서버가 해킹을 당해 발생한 대규모 개인정보 유출 사태입니다. 초기 1.7GB로 보고되었으나 실제로는 200GB에 육박하는 규모로 밝혀져 충격을 주었습니다.

 

 

3. 2025년 롯데카드 해킹 사건 심층 분석

사건 개요 및 발생 과정

구분 일자 주요 내용 비고
해킹 시작 2025.8.14 오후 7시 21분경 해킹 공격 시작 Oracle WebLogic 취약점 악용
악성코드 발견 2025.8.26 일부 서버 악성코드 감염 확인 12일 만에 발견
유출 확인 2025.8.31 1.7GB 데이터 유출 확인 실제로는 200GB 이상
당국 신고 2025.9.1 금융감독원 및 KISA 신고 18일 만에 신고
공식 발표 2025.9.18 297만명 정보 유출 공식 발표 조좌진 대표 기자회견

 

피해 규모 및 유출 정보

롯데카드 해킹 사건의 최종 피해 규모는 297만명의 회원 정보가 유출된 것으로 확인되었습니다. 이는 롯데카드 전체 회원 960만명의 약 31%에 해당하는 규모입니다.

 

유출된 정보 유형:

  1. 모든 피해자(297만명): 연계정보(CI), 주민등록번호, 가상결제코드, 내부식별번호, 간편결제 서비스 종류
  2. 고위험군(28만명): 카드번호, 유효기간, CVC번호 등 부정사용 가능 정보

 

해킹 수법 및 보안 취약점

이번 공격은 2017년에 이미 공개되어 오라클이 보안 패치를 배포한 웹로직 서버의 원격 코드 실행 취약점(CVE-2017-10271)을 악용한 것으로 분석되었습니다.

 

주요 보안 취약점:

  • 8년 된 알려진 취약점 미패치
  • 웹쉘 5종 설치로 시스템 장악
  • 실시간 감시 체계 부실
  • 17일간 해킹 사실 미인지

 

 

4. 2014년 카드사 대형 유출 사건과의 비교

2014년 사건 개요

2014년 1월에 발표된 KB국민카드, NH농협카드, 롯데카드 3사의 개인정보 대량 유출 사건은 1억 400만 건이 넘는 개인정보가 유출된 사상 초유의 사건이었습니다.

 

*2014년 vs 2025년 비교 분석

구분 2014년 사건 2025년 롯데카드
원인 내부자(KCB 직원) 정보 유출 외부 해커의 시스템 침입
피해 규모 3개사 총 1억 400만 건 1개사 297만명
발견 경로 검찰 수사로 우연히 발각 자체 보안 점검으로 발견
공개까지 기간 7개월 후 뒤늦게 공개 18일 후 공식 발표
유출 정보 성명, 휴대폰번호, 신용등급 등 19개 항목 카드번호, 결제내역, 개인식별정보

 

 

5. 국내 카드사 해킹 사건의 공통 패턴 분석

1) 보안 투자 부족

롯데카드의 경우 최대주주인 MBK파트너스의 수익 중심 경영으로 인해 정보보호 투자가 소홀했던 것으로 나타났습니다. 실제로 네트워크 보안 관련 지출이 2021년 137억원에서 2023년 116억원으로 14.7% 감소했습니다.

 

2) 늑장 대응과 축소 보고

대부분의 카드사 해킹 사건에서 공통적으로 나타나는 문제는 초기 대응 지연과 피해 규모 축소 보고입니다. 롯데카드의 경우도 초기 1.7GB로 보고했던 유출 규모가 실제로는 200GB 이상으로 밝혀졌습니다.

 

3) 기본적인 보안 수칙 미준수

보안이 강화된 카드사들의 경우 외부 업체 직원의 개인정보 원본 요구 시 즉시 거부하고, 가상 데이터 작업, OTP 추가인증, 외부저장매체 차단 등의 보안 조치를 철저히 시행하고 있었습니다.

 

 

6. 정부 및 금융당국의 대응 체계

현재 대응 체계의 문제점

현재 금융사의 해킹 사건은 금융위원회와 금융보안원이, 비금융권은 과기정통부 산하 KISA가 담당하는 이원화 체계로 운영되고 있어 정보 공유와 초동 대응에 공백이 발생할 수 있습니다.

 

제도 개선 방향

국회 최수진 의원의 제안:

  • 범부처 해킹 대응 정보 공유 의무화
  • KISA를 모든 국내 해킹 사고의 기술 분석 및 국제 대응 창구로 지정
  • 금융위는 감독·제재 중심으로 전환

 

7. 카드사 해킹 피해 보상 현황

법적 처벌 및 과징금

처벌 유형 2014년 카드 3사 2025년 롯데카드 예상
영업정지 3개월 (2014.2.17~5.16) 미정 (조사 중)
과태료 600만원 최대 800억원 예상
벌금형 1,000~1,500만원 미정
경영진 책임 사장 등 임원 9명 사퇴 조좌진 대표 사임 시사

*고객 보상 방안

롯데카드는 이번 사고에 대해 피해액 전액 보상, 2차 피해 연관성 확인 시 보상, 정보 유출 고객 전원에게 연말까지 무이자 10개월 할부 서비스 제공, CVC 유출 28만명에 대한 2026년 연회비 면제 등의 보상안을 발표했습니다.

 

 

 

8. 개인정보 보호를 위한 실전 대응 방안

 

1) 즉시 실행 가능한 보안 조치

카드 관련 보안 수칙:

  • 카드사별로 서로 다른 복잡한 비밀번호 설정
  • 정기적인 비밀번호 변경 (최소 3개월마다)
  • 카드 사용 내역 실시간 알림 서비스 활용
  • 의심스러운 거래 발견 시 즉시 카드사 신고

2) 정보 유출 의심 시 대응 요령

단계별 대응 방법:

  1. 즉시 확인: 해당 카드사 홈페이지에서 개인정보 유출 여부 조회
  2. 카드 재발급: 유출 확인 시 즉시 카드 재발급 신청
  3. 거래 내역 점검: 최근 3개월간 모든 카드 사용 내역 면밀 검토
  4. 신용정보 모니터링: 신용정보회사를 통한 정기적 신용정보 조회

3) 2차 피해 방지 요령

주의사항:

  • 개인정보 유출을 빌미로 한 보이스피싱 주의
  • 가짜 보상 안내 문자나 이메일 주의
  • 공식 채널을 통한 정보 확인 필수
  • 개인정보 추가 요구 시 즉시 거부

 

 

9. 향후 금융보안 발전 방향

기술적 보안 강화 방안

차세대 보안 기술 도입:

  • AI 기반 실시간 이상 거래 탐지 시스템
  • 블록체인 기술을 활용한 거래 내역 위변조 방지
  • 생체인증과 다중인증 시스템 확대
  • 양자암호 통신 기술 도입 준비

제도적 개선 과제

법적 기반 강화:

  • 개인정보보호법 처벌 수준 강화
  • 금융기관 보안 투자 의무 비율 설정
  • 해킹 사고 신고 의무 시한 단축
  • 피해자 구제 절차 간소화

 

 

10. 금융기관 선택 시 보안 평가 기준

안전한 카드사 선택 가이드

평가 체크리스트:

  1. 보안 인증 현황: ISMS-P 인증, 국제 보안 표준 준수 여부
  2. 과거 사고 이력: 최근 5년간 해킹 사고 발생 횟수 및 대응 수준
  3. 보안 투자 규모: 전체 IT 예산 대비 보안 투자 비중
  4. 실시간 모니터링: 24시간 보안관제센터 운영 여부
  5. 고객 지원 체계: 해킹 사고 발생 시 고객 대응 프로세스

보안이 우수한 카드사 특징

과거 사례를 통해 보면, 보안이 우수한 카드사들은 외부 업체의 개인정보 원본 요구를 즉시 거부하고, 모든 작업을 가상 데이터로 진행하며, 직원 대상 OTP 추가인증을 시행하고, 외부저장매체 사용을 원천 차단하는 등의 철저한 보안 조치를 시행하고 있습니다.

 

 

 

2020년 이후 국내 카드사 해킹 사건들을 종합적으로 분석해보면,

기술적 진화에도 불구하고 여전히 기본적인 보안 수칙 미준수와 경영진의 보안 투자 소홀이 주요 원인으로 나타나고 있습니다.

 

특히 2025년 롯데카드 사건은 8년 된 알려진 취약점을 방치하고,

17일간 해킹 사실을 인지하지 못한 것으로 드러나 금융기관의 보안 의식 전환이 시급함을 보여주었습니다.

 

소비자 입장에서는 카드사의 보안 수준을 꼼꼼히 따져보고,

개인 차원에서도 철저한 보안 관리를 통해 피해를 최소화하는 것이 중요합니다.

 

정부와 금융당국도 현재의 이원화된 대응 체계를 통합하고, 더욱 강화된 제재와 예방 시스템을 구축해야 할 것입니다.

금융 보안은 더 이상 선택이 아닌 필수입니다.

카드사는 물론 우리 모두가 함께 노력해야 안전한 디지털 금융 환경을 만들어갈 수 있을 것입니다.

반응형

티스토리툴바