최근 해킹 피해가 발생한 법인보험대리점(GA) 두 곳에서 고객 및 임직원 약 1천여 명의 개인정보가 유출된 것으로 드러났다. 일부 유출 정보에는 보험계약 내역 등 민감한 신용정보도 포함된 것으로 확인됐다.

금융감독원은 20일 이 같은 내용이 담긴 'GA 개인정보 침해사고 경과 및 대응 계획'을 발표하고, 해당 GA에 대한 현장검사와 함께 보험사에 2차 피해 예방 조치를 지시할 방침이라고 밝혔다.

이번 사고는 국가정보원이 지난 4월 다크웹 모니터링 과정에서 신원 미상의 해커가 GA의 개인정보를 탈취해 유포하려는 정황을 포착하면서 최초 인지됐다. 이후 금융보안원의 분석 결과, GA와 보험영업 IT지원 업체의 시스템 개발자가 해외 이미지 공유 사이트에서 악성코드에 감염된 링크를 클릭한 것이 발단이었다.

감염된 PC에는 고객사인 GA 14곳의 웹서버 접근 URL과 관리자 ID, 비밀번호가 저장돼 있었고, 이 정보가 외부로 유출된 정황이 포착됐다.

가장 큰 피해를 입은 대형 GA인 유퍼스트보험마케팅에서는 고객 349명의 성명, 주민등록번호, 전화번호 등이 유출됐고, 임직원 및 설계사 559명의 연락처 정보도 함께 빠져나간 것으로 확인됐다. 특히 128명의 고객정보에는 보험 종류, 증권번호, 보험료 등 신용정보까지 포함됐다.

또 다른 GA인 하나금융파인드의 경우, 고객 199명의 개인정보가 유출됐으나 보험계약 관련 정보는 포함되지 않았다.

이 외에도 동일 IT업체의 고객사인 나머지 12개 GA 가운데 한 곳에서 개인정보 유출이 추가로 확인됐고, 두 곳에서는 침해 정황이 있으나 유출 여부는 확인되지 않았다. 금감원은 "추가적인 유출 가능성을 배제할 수 없어 43개 GA에 대해 이상 접속 기록을 전수 조사할 계획"이라고 밝혔다.

금감원은 개인정보 유출이 확인된 GA에 대해 고객들에게 개별 통지를 조속히 완료하도록 했으며, 보험사에는 유출 정보를 활용한 보험계약대출(약관대출), 적립금 중도인출, 계약 해지·변경 등 금융거래 악용 가능성에 대한 철저한 사전 방지 조치를 요구할 방침이다.

금감원 관계자는 "현재는 보험 관련 서비스에 본인 인증 절차가 강화돼 있어 유출 정보만으로 피해가 발생할 가능성은 낮다"면서도, "철저한 점검과 고객 안내로 잠재적 위험을 선제적으로 차단하겠다"고 밝혔다.

아울러 금감원은 유출 GA와 보험사에 피해 상담센터 설치를 요청하고, 소비자 대상 스미싱 주의 및 금융 앱 비밀번호 변경 등의 보안 조치도 권고했다.

금감원은 향후 현장검사를 통해 유출 사고에 대한 책임소재를 규명하고, 해당 IT업체와 GA에 △ 불필요한 고객정보 삭제 △ ID·비밀번호 관리 강화 △ 보안 취약점 점검 △ 외부 솔루션사 보안 수준 점검 등을 포함한 종합 보안대책 수립을 요구할 예정이다.

이번 해킹 사고는 보험영업 디지털 전환이 빠르게 진행되는 가운데, 외주 시스템 개발 환경의 보안 관리 부실이 금융 소비자의 개인정보를 심각하게 위협할 수 있다는 점을 다시금 부각시켰다는 평가다.