韓国の大手クレジットカード会社ロッテカード(Lotte Card)が、960万人にのぼる会員を抱える中、ハッキング被害を17日間にわたり把握できなかったことが判明し、波紋が広がっている。攻撃には「ウェブシェル」と呼ばれる侵入手法が用いられ、外部の攻撃者が内部資料を持ち出そうとした形跡が確認された。
金融当局と国会によると、初めての内部ファイル流出は8月14日午後7時21分で、16日までの3日間にわたり2回成功、1回失敗の試みがあった。
ウェブシェルはサーバーに小型の悪性スクリプトを埋め込み、管理者権限の奪取や資料流出、バックドア設置を可能にする手口。ロッテカードは本来、ファイルアップロードを制御し実行権限を遮断すべきだが、対策が不十分だった。
同社は8月26日のサーバー同期作業で異常を察知したが、外部攻撃によるデータ流出の痕跡を確認できたのは31日になってからだった。発見が遅れた理由について、ロッテカード側は「単なるマルウェア感染は報告義務に該当せず、実際の被害が発生して初めて義務が生じる」と説明し、9月1日に金融監督院へ報告した。
問題は顧客情報が含まれていたかどうかだ。金融監督院の資料によれば、流出データは約1.7ギガバイトに達し、「カード情報やオンライン決済記録」が含まれていた可能性が高いとみられる。ロッテカードも「該当顧客にはカード暗証番号変更などを案内する予定」と報告しており、流出リスクを事実上認めた格好だ。
一方で同社は「外部調査機関による精密調査の結果、現時点で個人情報流出や深刻なマルウェア感染は確認されていない」とし、顧客に向けて「調査結果が出次第速やかに案内する」との声明を発表した。
金融監督院のイ・チャンジン院長は幹部会議で「今回の事件は金融市場に対する消費者不安を拡大させかねない。消費者被害の防止を最優先とし、電子金融取引の安定化に全力を挙げよ」と指示した。同院は金融保安院と合同でロッテカードに対する現場検査に着手しており、管理責任の所在を厳しく追及する構え。
(c)news1
