제2금융권 보안 실태와 대응 방안

1. 롯데카드 해킹사고 (2025년 8월)

사건 개요: 2025년 8월 14일경, 롯데카드는 해킹 공격을 통해 고객 정보가 대량으로 유출되는 사고 발생. 해킹의 정확한 경로나 수법은 공식적으로 공개되지 않았으나, 사내 정보 시스템이 외부 공격자에 의해 침해된 것으로 알려졌습니다. 정보 유출 인지 시점과 피해 신고까지 다소 시간이 소요되었으며, 이 과정에서 투명성 부족 논란이 제기되었습니다.

 

피해규모 및 정보 유출 내용: 해당 사고로 인해 약 297만 명의 고객 정보가 유출되었으며, 이 중 약 28만 3,000명(9.5%)의 정보에는 카드 비밀번호, CVC 번호 등 민감한 인증 정보가 포함된 것으로 파악됩니다. 유출된 전체 데이터 용량은 약 200GB 이상으로 추산되며, 외부로 유출된 정보는 다크웹에서 거래 가능성이 있는 형태로 확인되었습니다. 금융위원회에 따르면, 일부 정보가 텍스트 형태로 수집되어 보관되고 있었던 점이 심각한 보안 허점으로 지적되었습니다.

 

영향 및 문제점: 이번 사고는 단순한 개인정보 유출을 넘어, 실제 카드 부정사용 가능성으로 이어질 수 있는 심각한 보안사고로 분류됩니다. 특히 카드 번호뿐 아니라 비밀번호, CVC와 같은 인증 정보까지 포함된 점에서, 2차 피해 가능성이 매우 크다는 점이 우려됩니다. 또한 롯데카드 측의 피해 규모 축소 시도와 신고 지연 문제가 부각되며, 사고 대응의 투명성과 적시성에 대한 비판도 이어지고 있습니다.

 

대응 상황: 금융위원회는 사고 직후 관계기관과 함께 긴급 대응 회의를 개최하고, 롯데카드 및 계열사 전반에 대한 보안 실태 점검을 지시하였습니다. 또한 정보보호 관리체계(ISMS) 위반 여부와 관련한 조사를 개시하였으며, 추후 징벌적 과징금 부과를 포함한 제재 조치를 예고한 상태입니다. 금융감독원은 전체 카드사 및 관련 전자금융업체에 대해 추가적인 보안 점검을 시행하고 있으며 이번 사고를 계기로 정부는 금융권 보안 규제 강화를 적극 추진하고 있습니다.

 

 

2. 웰컴금융그룹 랜섬웨어 사고 (2025년 8월 초)

사건 개요: 2025년 8월 초, 웰컴금융그룹의 계열사인 웰릭스 F&I(대부업 및 렌탈 전문업체)는 랜섬웨어 공격을 받았습니다. 공격자는 내부 문서 및 파일을 암호화한 후 금전 요구를 하였으며, 일정량의 데이터를 다크웹에 게시하여 협박을 지속했습니다. 해당 공격은 계열사 내 일부 비핵심 시스템을 통해 침투한 것으로 보이며, 주요 은행 시스템과는 분리된 것으로 파악되고 있습니다.

 

피해규모 및 정보 유출 내용: 공격자가 주장한 유출 자료의 규모는 약 1.024TB이며, 파일 개수는 132만여 건에 달합니다. 다크웹에 게시된 일부 샘플에는 고객 이름, 생년월일, 전화번호, 주소, 이메일, 계좌 정보 등이 포함되어 있어 민감정보 유출 우려가 크지만, 웰컴금융 측은 주요 계좌 및 대출 시스템은 별도 서버에 위치해 직접적인 피해는 없다고 해명했습니다.

 

영향 및 문제점: 이번 사건은 제2금융권의 보안 관리 실태에 심각한 문제를 드러냈습니다. 특히 랜섬웨어 대응 매뉴얼, 백업 체계, 침입 탐지 시스템 등이 제대로 작동하지 않았을 가능성이 제기되었으며, 정보 유출 가능성에 대해 피해 규모가 축소되거나 정확히 공개되지 않은 점 역시 소비자 신뢰를 저하시키는 요인으로 작용했습니다. 다크웹에 게시된 내부 문서에는 직원 인사 자료, 회계 정보, 업무 지시문 등도 포함되어 있어 기업 경영에도 파장을 줄 수 있습니다.

 

대응 상황: 웰컴금융그룹은 사고 직후 포렌식 전문업체를 통한 조사를 진행하고, 한국인터넷진흥원(KISA)과 금융당국에 사고 사실을 공식 보고했습니다. 현재 내부 보안 시스템 전면 재점검과 동시에 외부 감사도 병행 중입니다. 웰릭스 F&I는 피해 고객에 대한 안내와 향후 재발 방지를 위한 보안 강화 계획을 수립 중이라고 밝혔으며, 정부는 이 사고를 포함한 제2금융권의 보안 수준 강화 필요성을 강조하며 제도적 조치 마련을 예고하였습니다.

 

 

3. KT 통신사 무단 소액결제/불법 기지국 사고 (2025년 9월)

사건 개요: KT 가입자들을 대상으로 한 무단 소액결제 피해가 발생했습니다. 범인은 불법적으로 설치한 소형 중계기(기지국) 또는 유사 장비를 이용해 통신망을 위조하고, 이를 통해 KT 사용자들의 통화기록과 인증정보를 가로챈 후 소액결제를 진행한 것으로 드러났습니다. 사고는 주로 특정 지역에서 일어난 것으로 보이며, 수법이 매우 정교하다는 점에서 사회적 충격을 주었습니다.

 

피해규모 및 정보 유출 내용: 현재까지 확인된 피해자는 약 362명이며, 총 피해 금액은 약 2억 4,000만 원으로 추산됩니다. 그러나 실제로 통화기록 탈취 가능성이 있는 대상이 더 많을 것으로 보고 조사 중에 있습니다. 범인은 사용자 통화 시 상대방의 번호, 통화 시작/종료 시간 등의 메타데이터를 활용하여 인증번호를 탈취하거나 인증우회를 실행한 것으로 분석됩니다.

 

영향 및 문제점: 이 사건은 통신망 보안의 구조적 취약점을 드러냈으며, 특히 금융권에서 많이 활용하는 휴대전화 기반 본인 인증 시스템의 신뢰도를 심각하게 훼손하였습니다. USIM, 휴대전화 인증, OTP 등 인증체계 전반에 대한 재검토가 요구되는 상황으로, 통신사 내부망에 대한 접근제어 부족, 소형 기지국 장비 등록 절차의 허점 등도 핵심적인 문제로 지적되고 있습니다.

대응 상황: 정부는 과학기술정보통신부, 금융위원회, 경찰청, KISA 등으로 구성된 민관합동조사단을 구성하여 사고 원인을 정밀 분석 중입니다. KT는 사고 발생 지역의 모든 기지국 장비에 대한 정밀 점검을 시작했고, 피해 고객에 대한 보상 및 USIM 교체를 진행하고 있습니다. 범인은 경찰에 의해 검거되었으며, 조사 결과에 따라 법적 처벌이 이뤄질 예정입니다. 금융당국은 이 사건을 계기로 소액결제 시스템의 인증 절차 및 통신사 연동 체계를 강화하겠다는 방침을 밝혔습니다.

 

 

4. 최근 보안사고의 종합적 특성과 문제점

2025년 8월부터 9월 사이에 연이어 발생한 금융권 보안사고들은 단순한 시스템 오류 수준을 넘어서, 국민의 개인정보 보호는 물론 금융거래의 안전성과 사회 전반의 신뢰 체계에까지 중대한 위협을 가한 사건들이었습니다. 특히 이번 사고들은 공통적으로 고도화된 공격 수단, 민감 정보의 대규모 유출, 미흡한 사고 대응, 보안 체계의 한계, 그리고 금융 외부 인프라의 취약성이라는 문제점을 드러냈습니다.

 

고도화된 공격 방식의 등장

이번 사고들에서 가장 먼저 주목할 점은 공격 방식이 매우 정교하고 다양화되었다는 점입니다. 롯데카드는 외부 해킹을 통해 카드 번호, 비밀번호, CVC 등 고위험 정보가 대량 유출되었고, 웰컴금융그룹은 랜섬웨어 공격으로 내부 문서와 고객 데이터가 암호화된 뒤 다크웹에 공개되었으며, KT 사건에서는 불법 기지국을 설치해 통신망을 조작하고, 그 과정에서 인증 정보를 탈취해 무단으로 소액결제를 실행하는 등 기술적으로 고도화된 공격 시도가 실제 피해로 이어졌습니다.

 

금융거래에 직결되는 민감 정보의 대규모 유출

이번 사고들은 단순한 연락처나 이름 수준의 정보 유출을 넘어 카드 정보, 주민등록번호, 계좌번호 등 금융거래에 직접적으로 활용될 수 있는 정보들이 대량으로 외부에 노출되었고, 특히 카드의 CVC나 비밀번호까지 유출되어 카드 부정 사용 및 2차 피해 가능성을 높이고 있습니다.

 

사고 대응의 지연과 정보 공개의 불투명성

사고 발생 이후의 대응 과정에서도 심각한 문제점이 반복적으로 드러났습니다. 롯데카드는 해킹 사실을 인지하고도 금융당국 신고와 고객 고지에 수일이 소요되었고, 초기에는 유출 규모를 축소하려는 정황까지 제기되며 신뢰를 크게 훼손했습니다. 웰컴금융그룹의 경우에도 이미 다크웹에 유출 정보가 게시된 이후에서야 피해 사실을 인정하는 등 사후 대응의 책임감과 신속성이 현저히 부족했습니다.

이처럼 사고 인지 이후의 초기 대응이 지체되고, 피해 사실에 대한 투명한 공개가 이루어지지 않으며, 피해자 보호를 위한 조치가 체계적으로 마련되지 않은 문제는 단순 실수의 범위를 넘어, 기업의 위기 대응 능력과 책임 의식의 부재를 보여주는 심각한 신호로 해석될 수 있습니다.

 

FDS 및 내부 보안 체계의 실효성 한계

이번 사고들은 공통적으로 기존의 보안 체계, 특히 이상금융거래탐지시스템(FDS)의 실효성에 의문을 제기하게 만들었습니다. 어떠한 사고에서도 FDS가 선제적으로 위협을 탐지하거나 효과적으로 차단한 사례는 확인되지 않았습니다. 특히 KT의 사례는 통신사 인증 체계가 공격당했음에도 불구하고, 금융기관 내부 시스템에서는 이를 감지하거나 연계해 방지할 수 있는 체계가 부재했음을 보여주었습니다. 이는 현재의 보안 체계가 실제 공격 수법의 진화 속도를 따라가지 못하고 있다는 현실을 반영하고 있습니다.

 

금융권 외부 인프라의 취약성과 연계 보안의 필요성

이번 사고는 또한 금융기관 외부에 위치한 인프라가 곧 금융사고로 이어질 수 있음을 명확히 보여주었습니다. 웰컴금융과 KT는 각각 제2금융권과 통신사로서, 전통적인 금융사 범주에 속하지 않음에도 불구하고, 이들의 보안 문제가 직접적인 금융 정보 유출과 금전적 피해로 연결되었습니다. 이는 금융보안 체계가 이제는 개별 기관의 경계를 넘어, 통신, 인증, 플랫폼 등 다양한 외부 인프라까지 아우르는 ‘생태계 기반 보안 접근’으로 확장되어야 함을 시사합니다.

 

 

5. 사고대응을 위한 개선 방안

최근 연이어 발생한 보안사고들은 단순한 기업 내부의 보안 미비에 그치지 않고, 금융기관, 통신사, 인증사업자, 정부 등 다양한 주체들의 보안 책임과 협업 체계의 부재를 드러냈습니다. 이러한 구조적 문제를 근본적으로 해결하기 위해서는 개별 기관의 대응을 넘어, 전방위적이고 체계적인 보안 대응 시스템을 마련해야 합니다.

 

이상금융거래탐지(FDS) 및 내부 보안 체계의 고도화

현재 많은 금융기관들이 사용하는 FDS는 여전히 정형화된 규칙 기반 탐지에 머물러 있으며, 지능화된 공격 방식에는 효과적으로 대응하지 못하고 있습니다. 따라서 향후에는 머신러닝 기반의 이상행위 분석, 상관관계 기반 탐지, 비정상 접속 시도 감지 등 지능형 보안 시스템으로의 전환이 필수적입니다. 또한, FDS가 단독으로 작동하는 구조에서 벗어나, 통신사와의 인증 연계, 외부 플랫폼과의 연동까지 포괄하는 통합 모니터링 체계로 발전시켜야 합니다.

 

제2금융권 및 중소 금융사의 보안 역량 강화

최근 웰컴금융그룹 랜섬웨어 사고에서 드러났듯이, 보안 인프라가 취약한 중소형 금융사도 대규모 고객 정보를 보유하고 있으며, 사고의 피해규모는 훨씬 클 수 있다는 것을 보여줍니다. 이처럼 금융기관 간 보안 수준의 격차는 전체 금융 생태계의 공동 리스크로 작용할 수 있습니다.

정부와 금융당국은 제2금융권 및 대부업 등 비주류 금융기관들에 대해 보안 실태를 정기적으로 점검하고, 외부 보안 컨설팅을 통해 문제점을 사전에 파악하고 개선하도록 유도해야 합니다.

 

보안사고 신고 및 공개 절차의 제도화

사고 발생 이후의 신속한 신고와 투명한 정보 공개는 피해 확산을 막고 신뢰를 회복하는 핵심 요소입니다. 일정 규모 이상의 보안사고가 발생했을 경우, 사고 발생 24시간 이내에 금융당국과 피해 고객에게 즉시 신고하도록 하는 법적 의무가 명확히 규정되어야 하며, 유출된 정보의 유형과 민감도에 따라 객관적인 위험도를 평가하고 이를 투명하게 공개하는 체계도 필요합니다.

아울러 신고 지연이나 은폐 시에는 징벌적 과징금, 전자금융업 인증 취소, 금융위의 행정 제재 등 강력한 조치가 뒤따라야 할 것입니다.

 

통신 기반 인증 시스템의 보안 재점검

KT 소액결제 사고는 기존 휴대전화 기반 인증 방식(SMS, USIM 등)이 공격자에 의해 악용될 수 있음을 분명히 보여주었습니다. 금융기관은 이를 계기로 단일 인증 방식에서 벗어나, 생체인증, 앱 기반 OTP, FIDO2 등 복합적이고 다층적인 인증 체계로 전환해야 하며, 동시에 통신사 인증 서비스(KT PASS 등)에 대해서도 정기적인 보안 감사, 모의해킹 테스트, 장비 등록 절차 검증 등 선제적인 보안 점검이 의무화되어야 합니다.

 

피해자 보호 및 피해 복구 체계의 강화

사고 발생 이후 가장 중요한 것은 피해자의 불안을 최소화하고 실질적인 복구를 지원하는 조치입니다. 유출된 정보의 민감도에 따라 선제적으로 카드 재발급, 인증 정보 변경, 자동 거래 차단 등 사전 예방 조치를 취해야 하며, 피해가 발생한 경우에는 명확한 배상 기준과 법적 구제 절차가 마련되어 있어야 합니다. 또한, 금융보안원, KISA 등 유관 기관을 중심으로 피해자 상담 및 복구 지원 전담 센터를 활성화하고, 실질적인 지원이 이뤄지도록 시스템화할 필요가 있습니다.