본인 인증 확인 절차 없이
우회 접속만으로 보안 뚫려
8개월 넘는 기간 동안 ‘깜깜’
대출모집인, 무단 조회자로 추정
“민감 정보 유출 안 돼” 해명에도
고금리 대출 등 추가 피해 우려
본인만 조회할 수 있는 신용회복위원회(이하 신복위)의 신용정보조회시스템에서 2만8,000명에 가까운 개인신용정보가 무단으로 조회되는 사고가 발생했다. 신복위는 이러한 상황을 무려 8개월이 넘도록 파악조차 하지 못하고 있었다. 개인의 신용과 관련된 정보가 유출된 것이어서 2차, 3차 피해가 발생할 가능성도 배제할 수 없다.
신복위는 12일 홈페이지를 통한 신용정보조회시스템에서 본인 인증절차 없이 2만7,908명의 신용정보가 무단으로 조회됐다고 밝혔다. 신복위의 신용정보조회시스템에서 신용정보를 확인하려면 이름 및 주민등록번호 혹은 공인인증서 등을 통한 ‘실명인증절차’와 휴대폰을 통한 ‘본인인증’을 거쳐야 한다. 2중 확인 절차를 거쳐야 해 사실상 본인이 아니면 조회를 할 수 없는 구조다.
그러나 실제로는 우회 접속을 통한 무단 조회가 이뤄졌다. 신복위 관계자는 “정상적인 인터넷 상 파일 주소(URL)가 아닌 다른 URL로 접속할 경우 2단계 인증 과정이 모두 통과된 상태가 돼 개인신용정보가 공개됐다”며 “신용정보조회시스템 상 오류”라고 말했다. 우회 접속만으로 보안이 뚫릴 정도로 허술한 시스템이었다는 이야기다.
더 큰 문제는 무단 조회가 8개월 넘게 이뤄졌는데도 전혀 몰랐다는 데에 있다. 신복위에 따르면 무단 조회는 지난해 8월 시작된 뒤 올 들어 급증했다. 그러나 신복위는 이러한 사실을 최근 “신용정보를 조회하지 않았는데 조회했다는 문자가 온다”는 소비자 민원이 접수된 뒤에야 접속 인터넷 주소(IP)를 전수 조사하는 과정에서 파악했다. 신복위는 부랴부랴 지난 6~11일 홈페이지를 통한 신용정보조회서비스를 중단하고 보안강화 조치를 취했다.
조회된 개인신용 정보가 유출돼 추가 피해를 낳을 가능성도 적잖다. 신복위는 “조회된 신용정보는 한국신용정보원에서 제공하는 대출정보, 연체정보, 공공기록정보와 개인신용조회회사(CB사)에서 제공하는 신용등급”이라며 “전화번호, 주소 등과 같은 연락처와 공인인증서, 계좌번호, 카드번호 등은 포함되지 않았다”고 강조했다.
그러나 무단으로 정보를 조회한 이들이 대출모집인들로 추정되고 이들끼리 정보를 매매ㆍ공유하고 있다는 점에서 신복위의 문제 의식은 너무 안일하다는 게 금융 전문가들 지적이다. 실제로 신복위가 신용정보를 무단 조회 당한 이들을 일부 접촉한 결과 대부분이 “대출모집인과 대출 상담을 한 사실이 있다”고 답했다. 신복위도 대출모집인들이 신용 정보 무단 조회 방법을 공유한 것으로 보고 있다. 이미 연락처 등을 알고 있는 대출모집인들이 무단 조회를 통해 대출ㆍ연체정보 등 추가 정보까지 확보한 셈이다. 금융회사 관계자는 “돈이 필요한 서민들을 상대로 고금리 대출과 갈아타기 등을 유도할 수 있도록 대출모집인들에게 고급 정보를 손에 쥐어준 셈”이라고 말했다. 신복위 관계자는 “무단 조회에 대해서는 경찰에 수사를 의뢰했다”며 “조회가 이뤄진 해당 고객에게 신용정보 조회 사실과 제공항목 등을 안내하는 한편 추가 피해에 대비해 홈페이지와 상담 센터에 별도 접수처를 마련하겠다”고 밝혔다. 이대혁 기자 selected@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0