[3줄 요약]
1. CPO 워크숍서 ‘침해를 겪고야 보인 것들’ 발표
2. 5년간 1200억원 투자... ASM, EDR, AI SEIM 등 전면 도입
3 “진솔한 사고 경험 유익해” 현장 반응

[보안뉴스 강현주 기자] “보안이 철저한 금융권 내에서도 손꼽히는 정보보호 모범 기업이었던 롯데카드에 왜 이런일이 생겼을까요? 사고를 겪고 나서야 보인 것들이 있었습니다. 사고는 기술을 비웃고, 우리의 마지막 책무는 기본입니다.”

롯데카드가 뼈아팠던 해킹 사고 후 더욱 견고한 방어체계를 갖춰가고 있다. 이 회사는 사고를 통해 얻은 값진 성찰과 교훈을 대한민국 보안 담당자들 수천명 앞에서 나눴다. 진솔한 경험 공유로 언제 누가 타깃이 될지 모르는 해킹 일상화 시대에 유익한 도움을 받았다는 현장 반응이다.

20일 롯데카드 정보보호최고책임자(CISO)인 최용혁 상무는 일산 킨텍스에서 ‘SECON & eGISEC 2026’의 동시행사로 열린 ‘2026 제1차 CPO 워크숍’에서 ‘사고는 기술을 비켜간다: 침해를 겪고 나서야 보인 것들’을 발표했다.


보이는 모든 것 정상이었는데... 그늘진 틈 파고든 공격
이 자리에서 최 상무는 지난해 9월 297만명의 개인정보가 유출된 사고의 원인 분석 심층 분석, 대응 과정, 도출한 인사이트 등 의미있는 성찰을 가감없이 밝혔다. 이에 워크숍에 모인 기업 및 기관의 개인정보보호책임자(CPO) 등 약 2700여명에게 큰 주목을 받았다.

최 상무는 “IT 투자 대비 10% 이상 정보보호에 투자하고 정보보호 인력은 20% 이상인, 보안이 철저한 금융권 내에서도 손꼽히는 기업이 있다”며 “70종 500대 이상의 대규모 정보보호 시스템, 외부 화이트해커를 통한 블랙박스 모의 침투 취약점 진단, 300개가 넘는 수탁사들 대상 맞춤형으로 일반적 수준이 아닌 남다른 보안 진단 실시, 3종의 국내외 정보보호 인증을 갖췄는데, 나름 정보보호 수준이 괜찮아 보이지 않는가”라고 운을 뗐다.

이어 “그런데 이 회사가 사고를 당한다. 롯데카드 얘기다”라며 사고 당시 이야기를 풀어갔다.

최 상무는 사고의 원인을 △취약점 관리 △자산 식별 관리 △보안 운영의 정교화 △실시간 모니터링 및 이상 탐지의 우회 △로그 파일 암호화 등 5가지 측면에서 분석했다.

롯데카드는 2017년 알려진 오라클 웹로직 취약점 패치를 진행하는 과정에서 눈에 띄지 않았던 단 하나의 엔진에 패치 적용을 누락했다. 공격자는 이 틈을 파고들었고, 웹셸(원격으로 시스템에 명령해 서버를 장악하는 악성코드)을 사용해 297만명의 개인정보를 가져갔다.

최 상무는 “패치 적용이 누락된 엔진은 사용량이 전혀없던 서비스다 보니 자산 식별에서 누락됐었다”며 “아이러니 한 것은 웹셸 탐지도 정상적으로 작동했다는 점”이라고 밝혔다.

다만 보통 웹셸 탐지 솔루션은 시스템 과부하 등의 우려 때문에 전체 디렉토리에 적용하지 않는 게 일반적이라는 게 최 상무의 설명이다.

최 상무는 이 외에도 데이터를 티 안나게 아주 조금씩 가져가며 이상 탐지를 우회했던 공격자의 ‘로앤슬로우’ 방식, 매일 진행했던 암호화 배치 작업 전 시간대를 노린 치밀한 공격 등 사고 원인 분석 내용을 가감 없이 공유했다.


“아무 일 없는 레거시 시스템 방심 금물”
그는 이어 사고 수습 과정에서 도출한 인사이트도 나눴다. 현재까지의 보안 강화 활동 및 추후 계획도 밝혔다.

최 상무는 △제로트러스트 기반 관리 △섀도우 IT의 치명적 위협 △응답(Response) 가시성 확보 △루틴에 특별한 첨가 △위기 관리의 골든 타임 △개인정보배상책임 보험의 활용 등 7가지의 인사이트를 제시했다.

그는 “아무 문제 없이 안정적으로 돌아가는 레거시 시스템도 절대 맹신 말고 지속적으로 의심하고 검증해야 하고, 전사 IT 자산 목록을 100% 식별해 취약점 관리 체계와 유기적으로 연동해 누락을 원천 차단해야 한다”고 강조했다.

이어 데이터 유출 징후 조기 포착, 정기적 보안 인증 유지 등 일상적 방어를 넘어 주기적인 외부 침투 위협 대응, 데이터 실시간 암호화 적응 및 보존 주기 최소화, 충분한 규모의 보험가입 등을 적극 권장했다.

“은폐보다 투명 소통 선택... 최상위 수준 보안 체계로”
특히 최 상무는 투명하고 신속한 소통의 중요성을 거듭 강조했다.

그는 “사고 발생 당시 내부적으로 여러 임원들의 결정은 ‘투명하게 소통하고 고객 보호를 최우선으로 하자’는 것이었고, 실제로 그렇게 노력했다”며 “우리 역시 정직하게 오픈하면 오히려 손해본다는 목소리도 있었지만, 그럼에도 은폐나 축소보다 투명성을 확보한 신속한 위기 대응이 중장기적으로 회사에게 더 나은 결과를 가져올 것이라고 믿고 있다”고 말했다.

최 상무는 “지난 해킹 사고를 통해 얻은 경험과 인사이트들을 기반으로 정보보호 체계를 더욱 탄탄하게 강화해 나갈 것”이라며 “5년간 기존에 발표한 1100억보다 증액된 1200억원을 투자하기로 최근 결정이 됐고 IT 예산 대비 15% 수준으로 동종 업계 최상위 수준”이라고 밝혔다.

이어 “기술적으로는 공격 표면 관리(ASM)을 조기에 안착시켰고 엔드포인트 탐지 및 대응(EDR)을 전면 도입 중이며, AI 기반의 보안 정보 및 이벤트 관리(SEIM) 등을 새롭게 구축해 보안 사각지대를 없애고 24시간 철통 감시 체계를 완성할 것”이라고 했다.

이 외에도 롯데카드는 CISO 조직을 CEO 직속으로 격상시키고 침해 위협 관련 팀도 두 배로 늘리는 등 보안 조직을 대폭 강화했다.

최 상무는 “다시 선택 받는 기업이 되기 위해 신뢰를 재건하는 작업들이 아직 남았다”며 “AI 등 다양한 고도화된 기술들이 도입되고 있지만, 우리의 마지막 책무는 ‘기본’이라는 점을 절대 간과해서는 안된다”고 강조했다.

최 상무의 발표를 들은 한 CISO 겸 CPO는 “많은 사고를 막고도 한번의 사고로 큰 질타를 받는 사회적 분위기에서, 사고 경험이 언급되길 꺼려하는 기업들도 다수일텐데 롯데카드의 경험을 진솔하게 공유 받아 매우 유익했다”며 “특히 우리도 언제든 타깃이 될 수 있어 안심할 수 없는 지금인만큼 방어자들끼리의 소통과 공유는 큰 힘이 된다는 면에서 의미있는 자리였다”고 평했다.

이 날 워크숍에서는 이 외에도 김직동 개인정보보호위원회 개인정보보호정책과장이 ‘2026년 개인정보보호 정책 방향’을 발표했다.

이어 김정열 위즈코리아 본부장은 ‘AI 분석을 통한 선제적 리스크 관리와 개인정보보호 체계 자동화’를 제시했다. 또 임진욱 이지서티 본부장은 ‘AI 기본법 시대, 지능형 개인정보 식별과 자동 마스킹’을 주제로 강연했다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>