롯데카드 해킹, 피해 규모 예상 웃돌 듯: 원인·증상·대응 총정리

회원 960만 명을 보유한 롯데카드의 온라인 결제 서버가 해킹 공격을 받았고, 당초 추정치(약 1.7GB)보다 피해 규모가 더 클 가능성이 금융당국 조사에서 제기됐습니다. 일부 카드 정보 또는 온라인 결제 요청 내역이 포함됐을 수 있다는 우려가 나오며, 정확한 피해 범위는 발표를 앞두고 있습니다. 

사건 일지

• 2025-08-26: 서버 점검 중 악성코드 감염 확인. 3개 서버에서 악성코드 2종, 웹셸 5종 발견 보고. 
• 2025-08-31 정오: 온라인 결제 서버에서 외부 공격 흔적 확인, 금융감독원에 보고. 당시 회사는 “주요 정보 외부 유출은 확인되지 않았다”고 설명. 
• 2025-09-02: 금감원 현장 검사 착수. 유출 규모 1.7GB 이상 가능성 제기. 공격 수단은 웹셸(Web shell)로 파악. 
• 2025-09-17: MBC ‘12시 뉴스’—피해 규모가 초기 추정보다 클 수 있으며, 카드 정보·온라인 결제 요청 내역이 포함됐다는 국회 보고 취지 소개. 결과 발표 임박. 

원인(추정)과 공격 방식

금융당국과 언론 보도에 따르면 공격자는 서버에 웹셸을 은닉해 원격 명령을 수행하고 데이터를 외부로 반출한 정황이 파악됐습니다. 회사 자체 조사 단계에서 악성코드 2종과 웹셸 5종이 발견됐고, 유출 데이터 양은 최소 1.7GB로 보고되었으나 더 클 수 있다는 관측입니다. 다만 정확한 개인정보 항목과 최종 피해 규모는 당국 발표를 기다려야 합니다. 

소비자가 체감할 수 있는 ‘이상 징후’(증상)

• 본인이 하지 않은 소액 결제 승인/거절 알림이 간헐적으로 도착
• 국내외 낯선 온라인 가맹점에서의 결제 시도 알림
• 계정·카드사 콜센터 사칭 피싱/스미싱 빈도 증가
• 간편결제(페이) 연동 이력에 미확인 기기가 나타남
• 명세서에 해외 구독 서비스 등 소액 반복 청구가 발생

※ MBC 보도는 “카드 정보·온라인 결제 요청 내역 포함 가능성”을 언급. 실제 피해 항목은 최종 조사 결과 공지 참고. 

지금 당장의 대응 요령(체크리스트)

1. 카드 이용 알림을 ‘전 건’으로 강화: 소액·해외·정기 결제까지 모두 푸시/SMS 알림 켜기.
2. 간편결제 연동 점검·해제: 네이버페이·카카오페이·애플페이·구글페이 등 연결 카드 확인, 불필요 계정·기기 삭제.
3. 일시 한도 축소·해외결제 차단: 앱/웹에서 즉시 적용. 해외 오프라인/온라인 결제, 카드번호 결제(카드없음 결제) 각각 설정.
4. 수상 거래 즉시 신고: 롯데카드 분실·사고 신고 메뉴 → 거래 취소 요청 및 신용카드 재발급 검토.
5. 자동이체/정기결제 목록 점검: 미사용 구독 해지, 반복 소액 결제 확인.
6. 피싱 차단: ‘문자 내 링크/앱 설치’ 금지. 공식 앱·대표번호(앱 내 표시)로만 재확인.
7. 신용정보 모니터링: 올크레딧·나이스지키미 등 신용조회 알림 활성화.

※ 피해 범위와 항목은 최종 공지에 따릅니다. 현 시점 언론·당국 조사 기반의 일반적 보안 수칙입니다. 

회사·당국의 조치 현황

• 회사 입장(초기): “주요 정보 외부 유출은 확인되지 않았다”는 설명과 함께 사고 사실 보고. 
• 당국 조사: 금융감독원 현장 검사 진행, 피해 규모가 당초 보고치 초과 가능성 제기. 
• 공식 발표: 피해자 규모·유출 항목 등 최종 결과 발표 예정(보도 시점 기준 “이번 주 안” 전망). 발표 시 대표의 사과 및 구제책 안내 예정.

보안 관점에서의 교훈

• 웹셸 탐지·차단: WAF 룰 정교화, 서버 무결성 모니터링(FIM), EDR로 웹셸 업로드·실행 탐지 필요. 
• 권한 분리·비밀관리: 운영계/개발계 분리, 크리덴셜 금고화, 키 순환 주기 강화.
• 로그 가시성: 결제 게이트웨이·대외 연동 구간의 추적 가능한 감사 로그와 장기 보관.
• 사고 알림·공시 체계: 조기탐지(즉시 통지), 피해자 안내·보상 프로토콜 상시화.

자주 묻는 질문(FAQ)

유출이 확인되면, 카드 변경은 필수인가요?

의심 거래가 있거나 유출 항목에 카드번호·유효기간 등이 포함되었다면 재발급이 안전합니다. 간편결제도 새 카드로 재연동하세요.

피해 보상은 어떻게 받나요?

회사 공식 공지와 고객센터 경로로 접수합니다. 부정 사용액은 카드사 보상 기준과 전자금융거래법 등에 따라 처리됩니다(세부는 추후 공지 확인).

해외에서 결제 오남용이 걱정됩니다.

앱에서 해외 결제 차단과 카드없음(번호) 결제 차단을 우선 설정하세요. 사용 시에만 일시 해제하는 방식이 안전합니다.

 

롯데카드 공격에 사용된 해킹 기법 요약

1. 웹셸(Web Shell) 삽입 공격

1. 해커가 웹사이트의 취약점을 이용해 악성 스크립트(웹셸)를 업로드
2. 서버 내부에 원격 접속 창구를 마련
3. 관리자 권한처럼 파일 열람·수정 가능
4. 시스템 명령 실행과 데이터 탈취에 활용
5. 백도어 형태로 은밀하게 장기간 잠복

---

2. 악성코드 감염

1. 서버나 단말기에 의도적으로 악성 프로그램 심기
2. 보안 솔루션 무력화, 로그 조작 가능
3. 사용자 입력값(카드번호, 비밀번호 등) 탈취
4. 내부 네트워크 확산 및 추가 시스템 감염

출처

• MBC 12시 뉴스 <롯데카드 해킹‥피해 규모 예상 웃돌 듯> (2025-09-17 12:11). 
• 한국경제: “롯데카드 고객정보 1.7GB 털어간 해킹 프로그램, 웹셸” (2025-09-02). 
• 경향신문: “롯데카드도 ‘해킹 사고’ 데이터 1.7GB 유출…서버 악성코드” (2025-09-01).
• 아시아경제(영문): 금감원 조사 및 웹셸 관련 회사 설명(요지) (2025-09-02).