코리안리재보험이 허술한 신용정보보안으로 금융위원회의 제재를 받았다. 신용정보관리에 대한 법규를 위반했기 때문이다. 금융위원회는 최근 코리안리에 450만원의 과태료를 부과하고 임직원 2인에는 주의, 퇴직자 2인에게는 퇴직자 위법사실 통지, 그밖에 부장급 미만에는 적절한 조치를 취하도록 했다. 단말기 보호대책 등 4건의 개선사항도 지시했다. 원종규 사장은 신뢰도에 큰 타격을 입었다.
코리안리는 중요정보에 접속할 수 있는 단말기를 중요단말기로 지정하지 않았다. 중요단말기로 지정한 4대도 외부 인터넷 접속이 가능한 일반PC와 연결이 가능한 상태로 운영했다. 사실상 중요 정보가 해킹을 당할 위험에 그대로 노출된 채 방치된 것이다.
전산시스템 운영도 주먹구구식으로 이뤄졌다. 원칙적으로 사내 PC는 외부 네트워크와 연결할 수 없을 뿐 아니라 IP도 접속이 제한돼 있다. 그러나 코리안리는 개발 업무를 맡은 외부용역업체가 회사 PC를 무선접속장비나 USB 테더링을 통해 인터넷을 우회 접속하는 것을 방치했다. 심지어는 내부 정보에 접속할 수 있는 사용자계정을 외부 직원에 부여하면서도 등록과 폐기의 절차를 마련하지 않았다.
애써 적용한 보안 기술도 허점 투성이였다. 코리안리는 사내 PC에서 만든 문서에 DRM을 적용해 암호화했다. 그러나 오프라인 PC에서도 문서를 읽을 수 있었다. 코리안리의 문서 암호화 시스템은 실시간으로 적용된다. 때문에 오프라인 PC에서 문서가 열린다면 사실상 암호화가 안된 것과 같다. 마음만 먹으면 누구든 쉽게 중요정보를 유출할 수 있는 것이다.
직원들이 사용하는 이메일의 대용량 첨부 파일도 중립네트워크에 저장돼 해킹으로 인한 정보 유출에 취약했다.
다행히 실제 정보가 유출된 사례는 없었다.
금감원 관계자는 "이번 제재는 지난해 금융권의 개인정보 유출 사고에 따른 국민적 우려가 커짐에 따라 실시한 조사"라고 배경을 설명했다.
코리안리도 "이미 조사는 작년부터 진행돼 왔다. 대부분 조치를 완료했다"고 말했다.
그러나 안심할 수는 없다. 코리안리의 보안 시스템은 누구나 쉽게 중요정보에 접근할 수 있는 정도로 허술했다. 지금 당장은 문제가 없어 보이지만 보안에 대한 피해는 대부분 시간이 어느 정도 지난 후에 드러난다. 따라서 지금 당장은 피해 상황이 없지만 언제 어떤 일이 일어날 지 아무도 모른다.
김재웅 기자 jukoas@sporbiz.co.kr
기사 URL이 복사되었습니다.
댓글0