금융당국이 롯데카드 해킹사고와 관련해 고객전보 유출 여부 등을 확인하기 위해 조사에 착수한 가운데, 이번에 사용된 해킹 프로그램은 '웹셀'(Web Shell)로 파악됐다.
금융감독원은 2일 롯데카드가 해킹 관련 전자금융사고 발생 사실을 보고함에 따라 현장검사에 착수했다고 밝혔다. 금감원은 현재 금융보안원과 함께 고객정보 유출 여부 등 사실관계를 파악하고 있다.
롯데카드에 따르면 지난달 26일 서버 점검 중 일부 서버가 악성코드에 감염된 사실을 확인했다. 이후 전체 서버를 정밀히 조사했고, 이 과정에서 3개 서버에서 악성코드 2종과 웹쉘 5종을 발견했다. 지난달 31일 정오쯤엔 온라인 결제 서버에서 1.7 기가바이트 정도의 데이터가 유출된 흔적을 확인했다.
금융감독원이 국회 정무위원회 소속 강민국 의원실에 보고한 자료에 따르면 롯데카드에 최초 해킹 사고가 발생한 시점은 지난달 14일 오후 7시 21분께다. 이날과 15일 이틀에 걸쳐 온라인 결제 서버 해킹이 이뤄졌는데, 실제 내부 파일이 외부로 반출된 것은 2회로 파악됐다. 해커는 지난달 16일에도 해킹 시도를 이어갔으나, 이때는 파일 반출에 실패했다.
하지만 롯데카드가 해킹 사고를 인지한 시점은 지난달 31일 정오로 파악됐다. 사고 발생 후 17일이 지나서야 사태를 알게 된 셈이다.
웹셀은 대표적인 해킹 툴로, 공격자가 원격으로 웹 서버에 명령을 내릴 수 있게 만들어진 해킹 프로그램으로 이를 이용하면 서버 내 모든 자료를 들여다볼 수 있다. 일종의 관리자 권한을 획득하는 셈이다. 10여년 전부터 대규모 해킹 피해를 준 사건에서 빼놓지 않고 언급되는 해킹 프로그램으로 꼽힌다.
웹셀은 해커가 공격에 성공한 뒤 서버에 심는 악성코드로, 추가 공격 등에 활용할 수 있는데, 악성코드 감염은 최근 예스24와 SGI서울보증 등에서 발생한 '랜섬웨어' 공격보다는 더 오래된 해킹 수법이다.
한편 금감원은 롯데카드 해킹과 관련해 "소비자 피해가 발생하지 않도록 사실관계를 신속히 규명해 필요한 조치를 강구할 것"이라고 말했다.
김소연 한경닷컴 기자 sue123@hankyung.com