- 롯데카드, 웹로직 (WebLogic) 하나를 자산목록에서 누락… 보안패치 등 조치 안 해

-더불어민주당 김남근 의원 "전 금융권 대상 정보보안 자산 미식별 및 자산목록 누락 여부 실태 점검 실시해야"

[디지털데일리 박기록기자] 롯데카드 고객정보 유출 해킹사건 원인이 전자금융기반시설 운영 서버인 48개의 오라클 웹로직 (WebLogic) 서버 중 하나가 자산목록에서 누락돼 보안패치 등 조치가 이뤄지지 않았다는 지적이 제기됐다.

아울러 롯데카드는 이러한 보안 무방비 상태를 무려 7 년간이나 사실상 방치했으며 금융보안원이 지난해 두 차례나 금융기관들에 웹로직이 해킹에 취약하니 보안패치 등의 조치를 실시할 것을 권고했는데도 보안 조치가 이뤄지지 않았다는 것이다.

10일 더불어민주당 김남근 의원(서울 성북을)이 금융보안원으로부터 제출받은 자료에 따르면, 금융보안원은 이번 공격의 주된 원인이였던 웹로직 해킹 취약점이 지난 2018년 공개된 후 금융권에 이를 즉시 공지하고 보안패치 등 조치를 실시할 것을 2018 년에 이어 2024 년에도 두 차례에 걸쳐 권고했다.

금융보안원은 웹로직 해킹 취약점 (CVE-2017-10271)과 관련해, 이를 인지한 2018 년 1월 11일 처음으로 “오라클 웹로직 서버(Oracle WebLogic Server)취약점 보안 업데이트 권고를 안내했고 2024 년에도 8월과 10월 두 차례에 걸쳐 각각 '금융권 대상의 취약점 스캔 공격 주의', '최근 금융회사 대상 오라클 웹로직 취약점 공격 관련 침해지표 공유' 등의 내용으로 웹로직의 보안 취약점을 경고하면서 보안 조치를 취할 것을 재차 권고했다.

이와관련 김 의원측은 2024년에 두 차례나 보안조치 경고를 했음에도 불구하고 막상 금융보안원이 금융기관 자체 보안 점검항목으로 배포하는 ‘자금융기반시설 취약점 분석·평가 내용'상에는 웹로직 관련 항목이 포함되지 않았다는 점에 의혹을 제기했다.

또한 김 의원측은 "금융보안원이 웹로직 해킹 취약점을 처음 공지한 2018년 이후에는 취약점 공지를 하지 않다가 6년이 지난 2024년에 갑자기 2차례나 취약점 경고를 한 것도 의문"이라며 "2018년 최초 안내 이후 금융회사들이 후속 조치를 제대로 시행했고 금융감독 당국이 이를 점검 확인했다면 2024년 취약점 공격이 발생하지 않았을 것이고 이에 대한 추가 안내도 필요하지 않았을 것"이라고 말했다.

그러면서 "2024 년 두 차례나 웹로직 취약점 경고를 하게 경위에 대해서도 국정감사를 통해 밝혀져야 한다"며 "금융감독당국이 웹로직 취약점 공격을 예견하고 경고까지 했다는 점에서 이번 롯데카드 고객정보 유출 사태는 명백한 인재"라고 강조했다.

한편 김 의원측은 "취약점 분석평가 체계상 드러난 보다 근본적인 문제는 해킹 당한 웹로직 프로그램이 롯데카드의 정보보안 자산목록에서 아예 누락돼 있어서 아예 보안 점검대상도 안됐다는 점"이라고 지적했다.

현행 전자금융기반시설 취약점 분석평가 제도를 포함한 금융권 정보보호 체계 및 평가 제도는 각 금융회사가 식별한 보안 프로그램 자산을 대상으로 진행된다. 즉, 관련 보안 프로그램이 자산으로 식별되거나 관리되지 않는다면 외부 점검기관 또는 인증기관이 위협요인에 대한 취약점을 파악하고 정보보호 대책도 수립할 수 없다는 것이다 .

김 의원측은 "롯데카드는 네트워크 구간 침해시도 탐지 대응 강화, 서버 및 내부망 접근통제 강화, 로그 등 데이터 보안 강화 등을 재발방지대책으로 제시하고 있지만 정작 왜 해당 웹로직이 자산으로 식별되지 않았는지에 대해서는 납득할 만한 해명을 하지 못하고 있다"며 "더 큰 문제는 이렇게 식별되지 않은 취약 자산이 과연 롯데카드가 보유한 한 개의 웹로직에만 국한되지 않을 수 있다는 점"이라고 의문을 제기했다.

김남근 의원은 “식별되지 않은 자산이 롯데카드의 한 개 웹로직 프로그램에 그치는지, 전체 금융권에서도 유사한 관리 사각지대가 없는지 전면적 실태 점검이 필요하다” 며 금융당국의 즉각적인 후속 조치를 촉구했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -