2025.08.14 롯데카드 해킹 및 개인정보 유출 사고 정리

1. 개요

• 2025년 8월 14일 오후 7시 21분경 롯데카드 온라인 결제 서버가 해킹당해 8월 14~15일 이틀간 두 차례 총 1.7GB의 내부 파일이 외부로 반출되었습니다. 
• 당초 9월 1일 금융당국에 신고하며 유출 규모를 1.7GB로 발표했으나, 금융감독원·금융보안원 현장 조사 결과 실제 유출된 데이터는 약 200GB 규모 데이터(회원 약 297만명 정보)로 확인되었습니다.
• 이 중 28만명은 카드번호·유효기간·CVC까지 포함되어 부정 사용 위험이 확인되었습니다.

 

2. 피해 범위

• 롯데카드는 상반기 기준 약 960만명의 회원을 보유한 업계 6위 카드사이며, 시장점유율은 약 10%입니다.
• 사고로 정보가 유출된 회원 수는 총 297만명이며, 전체 회원의 약 31%에 해당합니다.
• 유출 데이터 용량은 약 200GB로, 책 1,500권 분량(1.7GB 기준 약 15권) 대비 훨씬 방대한 양입니다.

 

3. 유출 항목

 - 조사 결과 온라인 결제 과정에서 생성·수집된 다음 항목들이 포함된 것으로 파악되었습니다.

• 연계정보(CI), 주민등록번호, 가상 결제코드, 내부 식별번호, 간편결제 서비스 종류
• 카드번호, 유효기간, 보안코드(CVC) (전체 유출 고객 중 28만명 대상)

 

4. 원인

• 온라인 결제 서버 침투(8월 14일): WebLogic 취약점*을 악용하여 웹셸을 업로드하였습니다.

     ※ *취약점: Oracle WebLogic CVE-2017-10271 을 통한 원격 코드 실행 취약점

• 웹셸을 이용해 결제 서버에 저장된 정보를 압축하여 두 차례 외부 반출 흔적이 확인되었으나 압축파일 삭제로 실제 내용은 확인이 불가했습니다.
• 악성코드·웹쉘 감염(8월 26일 확인): 서버 점검 중 악성코드 2종·웹쉘 5종이 3개 서버에서 발견되어 추가 공격 기반이 조성되었습니다.

 

5. 대응

 - 롯데카드 및 관계 기관은 다음과 같이 대응 조치를 진행 중입니다

• 악성코드·웹쉘 즉시 삭제 및 서버 보안 패치 적용
• 9월 1일 금융감독원·KISA에 공식 신고 후 외부 전문 조사업체 통한 정밀 조사 개시
• 9월 2일부터 금융감독원·금융보안원 합동 현장 조사 착수
• 9월 18일 대표이사 사과 및 고객 안내 기자회견 실시
• 유출 고객 전원 대상 무이자 10개월 할부 보상 및 피해 발생 시 전액 보상 방침
• 사이버 보험(100억 원 한도) 가입으로 추가 피해 보장

 

6. 문제점

• 지연된 발견·신고: 실제 해킹은 8월 14일에 발생했으나, 최초 인지(8월 26일) 후에도 9월 1일에야 금융당국에 신고하여 17일간 대응·보고가 지체되었습니다.
• 불투명한 정보 공개: 초기 발표한 1.7GB 대비 실제 200GB 유출 규모를 은폐하다가 금감원 조사 후에야 인정했습니다.
• 반복된 대형 유출: 2014년에도 2,000만 건 이상 개인정보 유출 사고를 겪은 이력이 있어 근본적 보안 체계 개선이 이루어지지 않았다는 지적이 제기되고 있습니다.
• 금융권 연쇄 취약성: SGI서울보증, 웰컴저축은행계열, SK텔레콤 유심 정보(2,600만건) 등 최근 금융·통신권 연이은 대형 침해 사고가 금융 보안 전반의 취약성을 드러내고 있습니다.
• 2차 피해 우려: 유출된 카드 정보는 보이스피싱·대출 사기 등으로 악용될 위험이 높아, 추가 피해 방지를 위한 고객 보호 및 모니터링 강화가 필요합니다.
• 정보보호 투자 감소: 2024년 ESG 보고서 기준 IT예산의 정보보호 투자비율 변화
  2021년: 12%, 2022년: 10%, 2023년: 8%
• 8월 12일 금융보안원으로부터 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받은지 불과 이틀 만에 해킹 공격에 당함