해킹 알고도… 대책 없던 '보안불감증'

[현대캐피탈 고객 정보 유출 175만명]고객 비밀ㆍ주민번호도 그대로 노출… 금감원 강력 제재 방침

다른 업종도 아닌 금융회사에서 한꺼번에 175만명의 고객정보가 해킹된 근본 원인은 바로 보안 불감증이었다. 17일 금감원이 공개한 현대캐피탈의 보안 실태는 국내 1위 캐피탈회사로 믿기 어려운 수준이었다.

이날 금감원은 현대캐피탈이 전자금융거래법 등 관련법규에 규정된 사고예방대책을 제대로 이행하지 않았다고 지적했다.

먼저 중요한 관리자 아이디와 비밀번호 관리가 허술했다. 중요한 서버에 대해 관리자 권한으로 접속하려면 사내에서만 가능하도록 해야 하는데, 업무 성격상 필요하지도 않은데도 광고메일 서버 등에 외부에서 접속할 수 있는 관리자 아이디를 부여한 것. 또 담당 직원이 퇴직한 후에도 아이디를 삭제하지 않아, 이 아이디로 해커가 정비내역조회서버에 여러 차례 접속할 수가 있었다.

해킹침입방지시스템도 설치만 해 놓았지 제대로 운영하지 않았다. 현대캐피탈은 침입방지시스템이 2월 15일부터 4월 6일 사이에 동일한 IP주소에 의한 해킹 시도를 여러 번 적발했는데도 해킹 패턴 분석이나 해당 IP에 대한 접속 차단 등 조치를 실시하지 않았다. 금감원은 서버에 해킹프로그램으로 의심되는 파일에 대한 필터링 기능이 없었고, 아무나 파일 업로드가 가능하도록 권한을 풀어놓은 것도 문제였다고 지적했다.

하지만 무엇보다 가장 큰 문제는 개인정보에 대한 암호화 미비였다. 로그파일에 남는 고객 비밀번호를 암호화해 두지 않았기 때문에 해커가 침입한 후 비밀번호를 빼갈 수 있었던 것이다. 또 관리자 화면에서 고객정보를 조회할 때 주민번호 뒷자리에 대해 숨김표시(*)를 해 놓지 않아, 해커가 관리자 화면을 단순히 캡쳐만 해도 주민번호를 입수할 수 있었다.

이 같은 문제점들은 모두 현대캐피탈 측이 기초적인 보안 규정조차 지키지 않았다는 점을 뜻하는 것이어서, 현대캐피탈의 이미지나 신뢰도는 물론 전반적인 금융기관의 보안 상태에 대한 국민들의 신뢰에도 큰 금이 가게 됐다. 게다가 이렇게 해킹된 고객 정보 일부가 대부중개업자에게 팔려나갔다는 사실이 최근 경찰 수사로 밝혀짐에 따라 고객의 피해보상 움직임 등 파장이 더 커질 것으로 보인다.

금감원은 검사종료일인 4월 29일까지는 해킹 정보중 인터넷에 노출된 정보는 없으며, 고객의 금전피해 신고사례도 없었다고 밝혔다. 하지만 서울지방경찰청 사이버범죄수사대는 금감원 발표 하루 전인 이달 16일 현대캐피탈 서버에 침입해 개인정보를 빼낸 한 대출중개업체 팀장 윤모(35)씨를 정보통신망법 위반 혐의로 구속했다.

윤씨는 지난 3월 10일 필리핀에 있는 주범 정모(36·미검)씨에게 2,200만원을 주고 현대캐피탈 서버에 침입할 수 있는 주소를 받아 고객 휴대폰번호 1만9,300여건을 입수, 대출중개 영업에 이용한 혐의를 받고 있다.

이에 따라 현대캐피탈은 이번 사고로 상당한 수준의 제재를 받게 될 것으로 보인다. 금감원이 제재심의위원회에서 제재 수준을 결정할 때 사회적 파장이나 물의를 일으켰을 경우 더 강한 제재를 하기 때문이다. 금감원은 "당해 회사 및 관련 임직원에 대하여는 국민불안을 초래하고 사회문제가 된 점 등을 감안하여 조치할 예정"이라고 밝혔다.

금감원은 이 같은 사고의 재발을 방지하기 위해 민관 합동 태스크포스(TF)를 구성해 금융회사의 보안 실태를 점검하고 있으며, 6월 중 금융 IT보안 강화 및 사고 재발방지대책을 마련, 추진할 계획이다.

최진주기자 pariscom@hk.co.kr