2025년 8월 14일, 대한민국 롯데카드의 온라인 결제 서버가 해킹 공격을 받으면서 대규모 내부 자료 유출 시도가 발생했다. 공격은 이틀간 지속되었으며, 최소 1.7GB 규모의 내부 데이터가 외부로 반출되려 한 정황이 확인되었다. 문제는 탐지 지연이었다. 8월 26일 서버 점검 과정에서 악성코드와 웹셸이 발견되었지만, 금융당국 신고는 9월 1일에야 이루어졌다. 이는 보안 체계의 대응 속도와 탐지 체계 미비가 심각한 수준임을 보여준다.
이번 공격에 사용된 주요 취약점은 오라클 웹로직 서버의 CVE-2017-10271 원격 코드 실행(RCE) 취약점이다. 이는 패치가 공개된 지 오래되었음에도 금융권 주요 인프라에서 여전히 악용될 수 있음을 방증한다.
CVE-2017-10271: 오래된 취약점의 위협
CVE-2017-10271은 WebLogic의 WorkContextXmlInputAdapter 클래스가 외부 XML 입력을 검증 없이 XMLDecoder로 처리하는 과정에서 발생한다.
- 영향 버전: Oracle WebLogic Server 10.3.6.0, 12.1.3.0 등
- 공격 난이도: 낮음 (공격 경로와 PoC 다수 공개)
- 피해 영향: 원격 명령 실행, 데이터 유출, 추가 네트워크 침투 가능
이미 여러 보안 커뮤니티와 GitHub 등지에 공격 재현 코드가 공개되어 있어, 자동화된 공격 시도가 손쉽게 이루어질 수 있다는 점이 문제다.
공격 PoC와 실제 악용 경로
CSDN 블로그 분석에 따르면, 공격자는 /wls-wsat/CoordinatorPortType와 같은 취약 URL 엔드포인트를 식별한 뒤 SOAP/XML 요청에 악성 Payload를 삽입하여 원격 명령을 실행한다. 이후 Kali 리스너를 통해 Reverse Shell 연결을 확보하고, /bea_wls_internal/shell.jsp 경로에 JSP 웹셸을 업로드해 서버를 원격 제어할 수 있다. 이 과정은 단순하지만 성공할 경우 공격자는 서버를 완전히 장악할 수 있다.
또한 실제 운영 환경에서 /wls-wsat/CoordinatorPortType 엔드포인트가 아래와 같이 서비스 정보(WSDL·Implementation class)를 그대로 노출하는 경우, 공격자가 바로 침투 지점으로 활용할 수 있다.
Criminal IP Asset Search를 통한 취약 자산 탐지
Criminal IP Asset Search에서 cve_id 필터를 활용하면 CVE-2017-10271이 탐지된 서버를 식별할 수 있다. 검색 결과에서 실제 응답으로 취약점 존재 여부를 확인할 수 있으며, 취약한 서버의 경우 SOAP 기반 오류 메시지가 반환된다. 이는 공격자가 손쉽게 스캐닝에 활용할 수 있는 정보이기도 하다.
Criminal IP Search Query: cve_id: CVE-2017-10271
2025년 9월 9일 기준 총 178,738개의 검색 결과가 확인되었으며, 대부분의 IP 주소가 인바운드가 Critical로 취약한 상태다. 이는 곧 인터넷에 직접 노출된 수많은 서버가 여전히 패치되지 않은 채 운영되고 있다는 의미이며, 공격자가 단순 스캐닝만으로도 손쉽게 침투 대상을 찾을 수 있음을 보여준다. 다시 말해, 오래된 취약점이라도 방치되면 실질적인 공격 표면으로 남아 조직 보안에 중대한 위협이 될 수 있다.
시사점과 대응 방안
롯데카드 사건은 “오래된 취약점도 방치하면 심각한 보안 사고로 이어진다”는 점을 보여준다. 보안 담당자가 반드시 수행해야 할 조치는 다음과 같다.
- 최신 보안 패치 적용: Oracle에서 제공한 보안 업데이트를 즉시 반영
- 불필요한 서비스 비활성화:
/wls-wsat등 불필요한 엔드포인트 차단 - 방화벽 설정 강화: WebLogic 관리 포트에 대한 접근 제한
- 자동화된 취약점 관리: Criminal IP ASM과 같은 공격 표면 관리 도구 활용
- 실시간 모니터링: 웹셸 및 비정상 행위 탐지를 위한 EDR·XDR 도입
FAQ – 자주 묻는 질문
Q1. CVE-2017-10271은 언제 발견된 취약점이며, 왜 아직도 위험한가요?
이 취약점은 2017년에 공개되었고, Oracle에서 즉시 패치를 제공했습니다. 하지만 금융사와 같이 레거시 시스템을 운영하는 환경에서는 업그레이드 지연·호환성 문제로 인해 여전히 패치되지 않은 서버가 존재합니다. 이는 “오래된 CVE라도 방치되면 언제든 공격자가 활용할 수 있다”는 교훈을 보여줍니다.
Q2. 이번 롯데카드 사건에서 공격자는 어떻게 침투했나요?
공격자는 Oracle WebLogic의 CVE-2017-10271 취약점을 악용해 /wls-wsat/CoordinatorPortType와 같은 SOAP/XML 인터페이스에 악성 Payload를 전달했습니다. 서버가 이를 검증 없이 처리하면서 원격 명령이 실행되었고, 결과적으로 웹셸이 업로드되어 내부 자료 유출 시도로 이어졌습니다.
결론
이번 롯데카드 해킹은 단순한 사고가 아니라, 패치 미비·탐지 지연·보안 관리 부재가 결합된 결과다. CVE-2017-10271과 같은 취약점은 이미 전 세계적으로 알려지고 PoC가 공개되어 있으며, 공격자는 이를 악용해 금융사조차 손쉽게 침투할 수 있다. 따라서 기업과 금융기관은 “위협 인텔리전스 기반의 공격 표면 관리”를 보안 전략의 핵심으로 삼아야 한다. Criminal IP Asset Search를 통한 지속적인 취약 자산 탐지와 모니터링이 이번 사건에서 배울 수 있는 가장 현실적인 대응책이다.
관련하여 오라클 웹로직 서버 취약점 CVE-2020-2883 : 5년간 지속된 서버 장악 위협 글을 참고할 수 있다.
이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다.
데이터 출처: Criminal IP(https://www.criminalip.io/ko), 데일리시큐(https://www.dailysecu.com/news/articleView.html?idxno=169283), 보안뉴스(https://www.boannews.com/media/view.asp?idx=139047&kind=&sub_kind=), CSDN 블로그(https://blog.csdn.net/weixin_65722679/article/details/131388033), Alert Logic(https://www.alertlogic.com/blog/beware-the-weblogic-wls-wsat-component-deserialization-rce-exploit-d94/)
관련 글 :