2025년의 민낯…"내부자가 고객을 팔아치웠다"
'책무구조도' 시대, 저축은행의 생존 과제
모아저축은행은 지난 2023년 보안 관리 체계 미비로 인해 외부 공격을 받아 고객 7146명의 정보가 유출됐으며, 이에 따라 약 14억 원의 과징금과 과태료 처분을 받았다. 2025년에는 전·현직 직원이 공모해 7년간 고객 22만 명의 정보를 불법 판매했으며, 이 정보가 사금융 영업 및 대출 수수료 갈취 등 실제 금전 피해로 이어졌다. 외부 침입(해킹)과 내부 결속(반출)이라는 서로 다른 경로로 보안 구멍이 잇따라 증명되면서, 저축은행 업권의 내부통제 및 책임 소재 강화가 시급한 과제로 떠올랐다. <알파경제>는 모아저축은행에서 벌어진 일련의 금융사고의 구조적 원인을 진단하고, 해법을 모색하는 2부작 기획기사를 준비했다. [편집자주]
① 해킹에 내부자 유출 혐의까지
② 두 사건이 드러낸 내부통제의 공백
 |
| (사진=연합뉴스) |
[알파경제=박남숙 기자] 모아저축은행을 둘러싼 고객정보 유출 문제는 서로 다른 유형의 사건이 시차를 두고 이어졌다는 점에서 특징적이다. 금융당국 제재로 확인된 2023년 해킹 사고가 있었고, 그로부터 2년 뒤에는 전·현직 직원이 연루된 고객정보 유출 혐의가 경찰 수사로 드러났다.
하나는 외부 침입에 따른 정보유출 사고이고, 다른 하나는 내부자를 매개로 장기간 이어졌을 가능성이 제기된 사안이다. 발생 경위와 드러난 과정은 다르지만, 두 사건 모두 같은 회사에서 발생했다.
 |
| (사진=제미나이 AI생성) |
◇ 2023년의 경고…"대문은 열려 있고, 자물쇠는 없었다"
첫 번째 사건은 2023년 9월 10일부터 11일까지 이틀간 발생한 해킹 사고다. 금융감독원 제재에 따르면 유출된 정보는 총 7146명분으로, 이 가운데 737명은 일반 개인정보, 6409명은 개인신용정보였다. 규모 자체도 적지 않았지만, 이후 검사와 제재 과정에서 드러난 문제는 단순한 침해사고를 넘어서는 수준이었다.
당국이 지적한 핵심은 외부 공격 자체보다 내부 통제의 미비였다. 모아저축은행은 공개 웹서버에 개인신용정보 조회가 가능한 프로그램을 설치해 운영했는데, 이 과정에서 적절한 접근통제가 이뤄지지 않았다. 외부에서 접속 가능한 환경에 민감한 정보 조회 기능이 그대로 노출돼 있었고, 이를 관리하는 통제 체계도 제대로 작동하지 않았다는 것이 감독당국의 판단이다.
세부 내용을 보면 문제는 특정 지점에 국한되지 않았다. 정보보호 시스템에서는 보안정책 승인·변경·삭제 이력이 남지 않았고, 해킹 시도를 즉시 알리는 체계도 갖춰지지 않았다. 방화벽은 공격 차단보다 탐지 중심으로 운영됐으며, 프로그램을 운영 시스템에 반영하는 과정에서도 별도의 검증 절차 없이 적용된 정황이 확인됐다.
내부 비밀번호를 평문으로 저장·사용한 사실도 적발됐다. 이런 사정을 종합하면, 사고는 특정 취약점 하나가 아니라 기본적인 보안관리 체계 전반이 제대로 작동하지 않은 상태에서 발생한 것으로 볼 수 있다.
금융당국 한 관계자는 알파경제에 “모아저축은행에는 과태료 1억6400만원과 과징금 12억4300만원이 부과됐고, 임직원에 대해서도 문책성 조치가 뒤따랐다”면서 “▲공개 웹서버 운영 ▲신용정보 접근통제 ▲보안장비 관리 ▲프로그램 반영 절차 ▲암호키와 비밀번호 관리 등 여러 항목이 동시에 지적됐다는 점에서 내부 관리 체계 전반의 문제가 드러난 사례로 평가된다”고 설명했다.
 |
| (사진=연합뉴스) |
◇ 2025년의 민낯…"내부자가 고객을 팔아치웠다"
2025년 5월 드러난 또 다른 사건은 경찰 수사를 통해 알려졌다. 연합뉴스와 인천 지역 언론 보도에 따르면 경찰은 모아저축은행 전·현직 직원과 불법 대출중개조직 관계자 등 12명을 검거했다. 고객정보를 빼돌려 외부에 판매하고, 이를 불법 대출중개에 활용한 혐의다. 외부 침입이 아닌 내부 경로를 통한 유출 의혹이라는 점에서 2023년 사건과는 성격이 구분된다.
경찰 수사 결과에 따르면 유출된 것으로 의심되는 고객정보는 약 22만명분이며, 시점은 2018년 7월부터 2025년 3월까지로 파악됐다. 이틀간 발생한 해킹 사고와 달리, 수년간 정보가 외부로 흘러나갔을 가능성이 제기된 것이다.
수사 내용에 따르면 현직 직원이 고객정보를 전직 직원에게 넘기고, 이 정보가 다시 불법 대출상담 조직으로 전달된 것으로 조사됐다. 정보는 건당 약 300원 수준에 거래된 뒤 재판매된 정황도 포착됐다. 경찰은 이렇게 확보된 정보가 불법 사금융 영업에 활용된 것으로 보고 있다.
피해 양상도 구체적으로 드러났다. 경찰은 피의자들이 유출된 고객정보를 바탕으로 햇살론 대상자에게 접근해 정상적인 대출 절차를 연결해 주는 것처럼 속인 뒤 수수료를 챙긴 것으로 보고 있다. 피해자들은 해당 상품 이용 요건을 갖추고 있었던 것으로 조사됐다.
이들은 피해자 58명에게서 약 1억원의 불법 중개수수료를 받은 혐의를 받고 있으며, 현금과 차량 등 재산도 압수·동결됐다. 고객정보 유출이 단순한 개인정보 침해를 넘어 금전 피해로 이어졌다는 점에서 사안의 무게가 커졌다.
 |
| (사진=연합뉴스) |
◇ '책무구조도' 시대, 저축은행의 생존 과제
두 사건은 성격이 분명히 구분된다. 하나는 외부 침입에 따른 침해사고이고, 다른 하나는 내부 경로를 통한 반출 의혹이다. 경로는 다르지만, 두 경우 모두 고객정보가 안전하게 관리되고 있었는지에 대한 의문을 남겼다는 점에서는 같다.
최근 금융당국이 저축은행 업권에 대해서도 내부통제 체계 강화를 요구하고 있다는 점에서 이 사례는 더 눈길을 끈다.
한치호 경제평론가 겸 행정학 박사는 “은행과 금융지주, 대형 금융투자회사와 보험회사에 이어 자산 7000억원 이상 저축은행에도 책무구조도 도입이 추진되면서, 내부통제를 임원별 책임으로 나누고 이를 실제 운영에 반영해야 하는 단계에 들어섰기 때문”이라고 설명했다.
이어 “모아저축은행 사례는 고객정보에 대한 내부통제가 제대로 작동하지 않을 경우, 외부 침입과 내부 유출이 서로 다른 형태로 동시에 나타날 수 있음을 보여준다”고 평가했다.
<다음 2회차 예고>
다음 회는 '왜 모아저축은행의 보안망은 작동하지 않았나?'라는 주제로 반복되는 사고의 구조적 원인과 저축은행 업계의 내부통제 과제를 집중 분석합니다.
알파경제 박남숙 기자(parkns@alphabiz.co.kr)
