(씨넷코리아=김진아 기자) 롯데카드가 약 28만 명의 카드 번호, 유효기간, CVC(카드 보안 코드)를 포함한 297만 명의 사용자 정보가 유출된 해킹 사고를 공개한 이후, 각종 결제 사기 및 표적 사기에 대한 우려가 커지고 있다. 회사 측은 사용자의 이름은 유출되지 않았으며 다수 사용자의 경우 부분적인 기록만 노출됐다고 밝혔으나, 200기가바이트(GB)가 넘는 대규모 유출 규모와 온라인 결제 서버에서 발생한 점은 유출 탐지 속도와 결제 보안 통제 체계에 대한 의문을 제기한다.
노드VPN(NordVPN)의 황성호 한국 지사장은 이번 해킹 사태와 관련하여 다음과 같은 견해를 밝혔다.
"카드 정보를 포함한 고객 정보가 유출될 때, 위험에 처하는 것은 단순한 사용자 데이터가 아니라 신뢰다. 카드 번호, 유효기간, CVC 정보가 노출되면 범죄자들은 즉시 실물 카드 미소지 상태에서 결제가 가능한 방법을 활용한다. 온라인으로 결제를 시도하는 데에는 비밀번호가 필요하지 않다."
“당사의 다크 웹 모니터링 연구에서 유출된 한국 결제 카드가 빈번히 포착된다. 600만 장의 도난 카드 데이터셋 중 1만 장 이상이 한국인 소유였으며, 3건 중 2건은 주소·전화번호·이메일 등 개인 세부 정보와 함께 유출된 것으로 밝혀졌다. 이러한 카드 정보는 다크 웹 접근자라면 누구나 10달러 미만에 구매할 수 있다. 바로 이 추가 정보가 유출 후 피싱 및 신원 사기 가능성을 더욱 설득력 있게 만드는 요소다.”
"최근 등록 정보와 결제 내역을 확보한 공격자는 롯데카드의 정식 공지문과 똑같이 보이는 메시지를 제작할 수 있다. 이러한 사기성 알림 메시지는 실제와 거의 구분할 수 없을 정도로 현실감 있게 만들어지기 때문에 각별한 주의를 요한다.”
“이번 유출 사태는 고객의 높은 가치로 인해 특히 금융 브랜드가 해킹 공격의 주요 표적이 된다는 점을 상기시킨다. 피해자들을 대상으로 한 보상 약속도 중요하지만 유출 사태 대응 속도가 더 중요하다. 고객은 지금 당장 쉬운 공격 경로를 차단하고, 키인(Key-in) 결제 사기를 경계하며, 받게 되는 모든 메시지의 피싱 여부를 의심해야 한다.”
황성호 지사장이 제공하는 롯데카드 고객 보호를 위한 팁 5가지를 공개했다.
▲ 재발급 및 경고 설정: 고위험군에 속한다면, 즉시 카드를 재발급받고, 실시간 거래 알림을 활성화하며, 온라인(비대면) 결제에 대한 임시 한도 고려하기.
▲ 다중 인증 활성화: 뱅킹, 이커머스, 비밀번호 관리자 계정에 다단계 인증(MFA)를 추가하여 자격 증명이 피싱되더라도 공격자가 쉽게 접근할 수 없도록 조치하기.
▲ 피싱 시도 주의: 롯데카드에서 온 것처럼 보이는 이메일이나 SMS, 특히 재발급, 수수료 면제 또는 무이자 할부를 언급하는 메시지에 주의하기. 전화, SMS 또는 채팅을 통해 일회용 비밀번호나 CVC를 공유하지 않기.
▲ 계정 활동 확인: 최근 명세서에서 낯선 "키인(key-in)" 또는 소액의 테스트 결제 요금이 있는지 확인하고 의심스러운 것은 즉시 이의를 제기하기. 새 카드를 받은 후 7월 22일~8월 27일 기간 동안 사용한 사이트에서 저장된 카드를 제거하고 다시 추가하기.
▲다크 웹 모니터링 활용: 해커 포럼이나 마켓플레이스와 같은 다크 웹 사이트에서 사용자의 인증 정보가 유출된 징후가 있는지 지속적으로 스캔하는 다크 웹 모니터링과 같은 보안 도구를 사용하여, 본인의 정보가 유출되어 온라인에 돌아다니고 있는지 확인하기.
