고객정보 보호 의무는 '뒷전'
"SKT 해킹사태보다 더 심각할 수도"
 |
| 하나손해보험 CI. (사진=하나손해보험) |
[알파경제=이준현 기자] 하나금융파인드, 유퍼스트 등 법인보험대리점(GA) 2곳에서 발생한 시스템 해킹 사고에 금감원이 총력 대응에 나섰다.
문제의 핵심인 지넥슨 영업지원시스템을 다수의 GA가 공동 사용 중인 것으로 드러나면서 제2의 금융판 SKT 사태로 확산될 가능성이 커졌다.
해킹 사고의 진원지가 IT 외주업체에 집중된 가운데, GA 업계 전반의 부실한 보안 관리 실태가 도마 위에 올랐다.
◇ 최소 7개 이상 GA 계정정보 이미 노출
금융감독원은 27일 대형 하나금융파인드, 유퍼스트 등에서 시스템 해킹 사고 발생 정황이 확인됐다고 밝혔다.
충격적인 것은 해커들이 지넥슨 프로그램을 공격해 하나손해보험의 자회사 GA 하나금융파인드와 유퍼스트보험대리점 관리자 아이디와 패스워드를 확보했을 뿐만 아니라, 실제 로그인까지 이뤄졌다는 점이다.
GA업계에 따르면 다크웹과 비공개 텔레그램 등을 통해 이미 최소 7개 이상 GA 계정 정보가 노출된 것으로 파악되고 있어 심각성이 더해지고 있다.
이는 곧 지넥슨 시스템의 해킹이 단순히 두 개 회사만의 문제가 아닌 하나금융파인드와 유퍼스트 외에도 GA 업계 전체를 위협하는 구조적 취약점으로 작용할 수 있다는 의미다.
특히 이번 사고는 지넥슨 영업지원시스템 관리자 계정 로그인 정보 노출로 촉발된 것으로 추정된다.
단 하나의 관리자 계정이 뚫리면서 다수의 GA의 고객정보가 일시에 위험에 노출될 수 있는 치명적인 보안 구조가 드러난 셈이다.
더욱 우려되는 점은 많은 GA들이 비용 절감을 위해 유사한 보안 체계와 솔루션을 사용할 수 있다는 것이다.
이 경우 한 시스템에서 발견된 취약점이 다른 GA에서도 동일하게 나타날 가능성을 배제할 수 없다.
즉, 지넥슨의 솔루션을 사용하는 여러 GA에서도 유사한 해킹 시도가 있었을 가능성이 존재하는 상황이다.
 |
| (사진=연합뉴스) |
◇ 고객정보 보호 의무는 '뒷전'
이번 사태의 핵심은 GA들이 고객정보 보호라는 기본적 의무를 소홀히 한 채 IT 시스템을 외주업체에 전적으로 의존해왔다는 데 있다.
특히 최근 GA 업계가 급격히 성장하면서 IT 시스템 의존도는 높아졌지만, 정작 외주업체에 대한 관리·감독은 거의 이루어지지 않았다는 지적이다.
일각에서는 "하나금융파인드와 유퍼스트가 보험상품 판매에만 집중하고 정보보안 관련 투자와 관리는 비용 절감 차원에서 최소화한 것 아니냐"는 비판의 목소리도 나온다.
금융보안원이 조사·분석을 진행 중인 가운데, GA들이 외주 IT업체에 대한 보안 점검을 정기적으로 실시했는지, 취약점 발견 시 개선 조치를 요구했는지 등 기본적인 관리·감독 의무를 이행했는지가 쟁점이 될 전망이다.
현행 법규상 GA들은 개인정보 보호법에 따라 고객정보 관리에 만전을 기해야 할 의무가 있으며, IT 시스템을 외주업체에 위탁했더라도 관리·감독 책임에서 자유롭지 않다.
그러나 실제 대다수 GA는 기술적 전문성 부족을 이유로 이러한 의무를 소홀히 해왔다는 비판이 제기된다.
 |
| 유영상 SK텔레콤 대표이사가 30일 국회 과학기술정보방송통신위원회의에서 열린 방송통신 분야 청문회에서 유심 해킹 사태에 대한 위원들의 질의에 답하던 중 물을 마시고 있다. (사진=연합뉴스) |
◇ "SKT 해킹사태보다 더 심각할 수도"
최근 SKT 유심정보 유출 사고로 인한 충격이 채 가시지 않은 상황에서 발생한 GA 해킹 사고는 SKT 사태보다 더 심각한 파급효과를 가져올 수 있다는 우려가 나온다.
GA는 고객의 이름, 주민등록번호, 연락처 등 기본 개인정보뿐 아니라 건강정보, 자산정보, 보험계약정보 등 민감한 금융정보까지 광범위하게 보유하고 있다.
특히 여러 보험사 상품을 판매하는 GA 특성상 고객 한 명에 대한 종합적인 금융 프로필이 구축되어 있어, 해킹 시 정보의 가치가 더욱 높아진다.
SKT 유심 해킹이 주로 통신 서비스 접근에 제한되는 반면, GA 해킹은 그 피해 범위가 훨씬 광범위할 수 있다는 것이다.
GA는 보험사 전속 설계사와 달리 여러 보험사 상품을 위탁받아 판매하기 때문에 고객의 금융 계좌 정보부터 질병정보를 포함한 건강정보까지 다양한 민감정보를 보유하고 있다.
이런 상황에서 해킹이 발생하면 보험사와 보험계약자, 심지어 보험설계사 정보까지 유출돼 총체적 신원 도용으로 이어질 가능성이 크다. 특히 이러한 정보가 불법 사이트에서 거래될 경우 2차, 3차 피해는 예측하기 어려울 정도로 확산될 수 있다는 점에서 금감원의 신속한 대응이 요구된다.
특히 금융당국이 SKT 유심정보 유출 사고와 관련해 금융사고에 대한 우려로 비상대응본부까지 구성한 상황에서, GA 해킹 사고는 마치 연쇄폭발처럼 금융 분야의 연속적인 보안 위기를 촉발할 가능성도 있다.
 |
| (사진=연합뉴스) |
◇ "불법 사이트서 유출 정보 거래 정황 포착"
금감원은 하나금융파인드, 유퍼스트 등 법인보험대리점 해킹 사태가 확산되는 것을 막기 위해 발 빠른 대응에 나섰다.
현재까지 고객정보 유출 여부는 확인되지 않았으나, 만약 확인될 경우 생·손보협회 등에 종합상담센터를 즉시 설치해 2차 피해를 최소화할 계획이다.
또한 금감원은 해당 GA들에 시스템 분리·차단 등 피해 최소화를 위한 조치와 소관기관 신고를 진행하도록 했으며, 고객정보 유출 사실이 확정될 경우를 대비해 고객에게 신속하게 통지할 수 있도록 사전준비를 지시했다.
이와 함께 지넥슨 시스템을 사용하는 다른 GA들에게도 보안 취약점 자체점검, 불필요한 고객정보 삭제 등을 요구하고 있으며, 보험사에는 수탁자(GA)에 대한 보안 취약점 점검도 지시했다. 특히 GA를 손자회사로 둔 금융지주들은 현황파악에 나선 것으로 전해진다.
금감원 관계자는 "개인정보 유출 등 사고 대응 매뉴얼 및 자체 대응 방안에 따라 해당 GA 등 관련 회사가 상황 단계별로 적절한 조처를 하도록 했다"며 "유관기관과도 긴밀히 공조·소통하고 있다"고 밝혔다.
무엇보다 이번 조사는 불법 사이트에서 유출 정보를 거래하려는 정황을 포착해 시작된 것으로 알려져, 해킹된 정보가 이미 거래되고 있을 가능성도 배제할 수 없는 상황이다.
금감원은 금융보안원과 협력해 해킹 발생 시점과 경로, 피해 규모 등을 철저히 조사하는 한편, 유사 사고의 재발 방지를 위한 근본적인 대책 마련에도 속도를 낼 것으로 보인다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
