김승주 교수 "롯데카드도 개인정보 암호화 부실…국가 정보보호 TF 구성 필요"

등록 2025.09.24 14:34:20

김승주 고려대 교수, 과방위 해킹 청문회서 롯데카드 보안체계 지적

"최근 잇단 해킹 사태는 국가적 안보 위협…국가 컨트롤타워 세워야"

[서울=뉴시스] 심지혜 기자 = 김승주 고려대 교수가 24일 국회 과학기술정보방송통신위원회의 대규모 해킹사고 관련 청문회에서 발언을 하고 있다.

[서울=뉴시스] 심지혜 박은비 기자 = 최근 발생한 롯데카드 대규모 개인정보 유출 사고가 SK텔레콤 사례와 마찬가지로 암호화가 해제된 서버와 로그 관리 부실에서 비롯됐다는 지적이 제기됐다.

김승주 고려대 정보보호대학원 교수는 24일 국회 과학기술정보방송통신위원회의 대규모 해킹사고 관련 청문회에서 “롯데카드는 처음에 CVC 등 일부 민감한 개인정보가 암호화됐다고 이야기 했는데 이후 암호화되지 않았고, 암호 해제된 상태로 유출됐다고 시인했다"고 지적했다.

이어 "개인정보가 평문상태로 24시간 로그 서버에 남아있었던 것으로 파악되는데 이 경우 심각한 문제"라며 "로그 기록엔 주요 정보를 담지 않도록 돼 있고, 보호 조치를 하도록 돼 있는데 안 지킨 것"이라고 말했다.

그러면서 "SK텔레콤 또한 개인정보보호 위반 사실이 없다고 했지만 전수 조사 과정에서 임시 서버 2대가 발견됐다. 암호화가 풀린 상태로 일정 기간 저장이 돼 있었다"며 "해커가 거기에 악성코드를 심었던 것으로 보이나 유출 여부는 로그가 부족해서 확인이 되지 않았다"고 설명했다.

그는 "롯데카드도 암호화 돼 있다고 했지만 파악이 안 됐던 것"이라며 "자산 파악 자체가 제대로 안 돼 있던 것이다. 기본 적인 게 안 돼서 생긴 문제"라고 꼬집었다.

김 교수는 특히 최근 미국 보안매체 프랙을 통해 지적된 잇단 해킹 사고가 단순한 개인정보 유출 차원을 넘어 국가 안보 위협으로 봐야 한다고 주장했다. 프랙은 KT 등 기업 뿐 아니라 정부부처도 해킹을 당했다고 지목했다.

그는 “프랙 보고서에는 해커가 산하기관을 통해 온나라시스템에 침투해 통일부·해수부 직원 계정을 탈취한 뒤 회의록, 보고서, 메모를 빼낸 정황이 나온다”며 “계정이 두 개만 털린 것인지, 백도어가 더 있는지 등 피해 범위 조차 파악이 안 되고 있다. 공인인증서 소스코드, 내부 메일 서버 소스코드까지 유출된 정황이 있다”고 설명했다.

또 “공무원 계정 해킹, 대검찰청 주요 부서를 겨냥한 피싱 메일 사례도 드러났다”며 “이 모든 문제가 한 명의 해커 PC에서 발견됐다. 보통 팀을 짜서 움직이는 것을 감안하면 실제 피해 규모는 훨씬 클 수 있다”고 말했다.

이뿐 아니라 통신사가 관리하는 통화상세기록(CDR)이 유출됐을 경우, 피해는 더욱 심각할 수 있다고 진단했다.

김 교수는 “CDR은 공직자 등 주요 인사의 동선과 만남 상대까지 파악할 수 있는 민감한 정보”라며 “작년 말 미국 9개 통신사 해킹 사건에서도 CDR 여부부터 조사했고, 조사 결과 트럼프 캠프 인사 등 주요 공직자의 통화 상세 기록이 유출된 사실이 드러났다. 나아가 감청장비까지 접근했다는 내용이 있었다”고 경고했다.

그러면서 국가적 정보보호 컨트롤타워가 필요하다고 촉구했다.

김 교수는 “총체적 난국을 헤쳐나가려면 정부부처 간 사이버보안 업무에 대한 정보교류와 협력체계가 유기적으로 이뤄져야 하는데, 제대로 작동되는지 의문"이라며 "국가 정보보호 TF 긴급 구성이 필요하다"고 말했다.

◎공감언론 뉴시스 [email protected], [email protected]