롯데카드는 18일 외부 해킹 공격으로 296만 9000명의 고객 정보가 유출된 것으로 확인됐다고 밝혔다.
롯데카드 전체 회원 960만 명의 3분의 1 규모다.
이중 28만 3000명은 카드 정보와 비밀번호는 물론 유효 기간, CVC번호까지 유출돼 부정 사용도 우려된다.
해킹 피해 데이터 규모는 첫 신고의 100배인 200GB(기가바이트)에 육박했다.
보안 전문가들은 지난 2017년 공개된 미국 오라클의 웹로직 서버(WebLogic Server)의 치명적인 취약점을 노려 침투한 뒤 '웹쉘 '(악성 스크립트 파일)을 설치하는 등 지능형 지속 위협(APT) 수법일 가능성이 높다고 분석했다.
롯데카드 해킹 사태에 사용된 것으로 추정되는 'CVE-2017-10271'은 오라클 웹로직 서버의 원격 코드 실행 취약점으로 지적된다.
인증 없이 특수 조작된 XML 데이터 전송으로 서버를 완전히 장악할 수 있는 치명적 취약점이 발견돼 2017년 패치가 제공됐다.
전문가들은 공격자가 이 취약점을 통해 롯데카드 온라인결제서버(WAS)에 침투한 뒤 올해 8월14일~27일 웹쉘을 설치해 서버 관리자 권한을 확보했을 것으로 추정하고 있다.
즉, 데이터 탈취를 넘어 시스템 장기 장악을 목표로 한 복합 공격일 수 있다고 분석했다.
APT 공격은 '초기 침해-거점 확보-권한 확대-내부 정찰-임무 완수' 등의 단계로 오랜 기간 흔적을 감추면서 내부 시스템을 정찰하고 정보를 탈취한다.
악성 스크립트 파일인 웹쉘은 해커가 원격으로 웹서버를 제어할 수 있는 악성 코드다. 웹 서비스 포트(80·443)를 통해 공격해 탐지가 까다로운 것으로 알려졌다.
롯데카드 데이터 유출 규모가 당초 1.7GB에서 200GB로 100배 급증한 것도 초기 파악이 어려운 APT 공격의 특성 때문이다.
보안업계 관계자는 "APT 공격은 여러 서버에 분산해 데이터를 탈취·저장하고 코드 제거 작업 등으로 공격 흔적을 지우는 치밀함을 보인다"며 "최근 랜섬웨어 그룹들이 자주 사용하는 수법"이라고 말했다.
한편 이날 한때 롯데카드 애플리케이션(앱)에 정보 유출을 확인하려는 접속자가 몰리면서 접속이 지연됐다.
■용어설명
▶웹쉘(Web Shell)
공격자가 웹 서버 취약점을 악용해 서버에 업로드하는 악성 스크립트 파일로 웹 페이지를 통해 원격에서 명령을 실행하는 악성 코드다.
▶APT(Advanced Persistent Threat, 지능형 지속 위협)
- 목표를 대상으로 장기간에 걸쳐 은밀하고 지속적으로 수행되는 고도화된 사이버 공격이다. 단순한 해킹이 아닌 조직적인 공격 주체가 다양한 기술과 방법을 동원해 목표 달성을 시도한다.