금감원 "해킹된 GA서 1107명 정보 유출…비밀번호 바꿔야"

[이데일리 이수빈 기자] 금융감독원이 최근 발생한 법인보험대리점(GA) 해킹 사고와 관련해 총 1107명의 정보가 유출됐다고 20일 밝혔다.

금감원은 이날 GA 개인정보 침해사고(해킹) 발생 경과 및 향후 계획을 상세히 밝혔다.

지난 4월 국가정보원이 하나금융파인드와 유퍼스트의 해킹 정황을 최초 인지했다. 다크웹에서 신원미상의 해커가 GA의 개인정보를 탈취·공개하려는 정황을 확인한 것이다.

이번 해킹은 보험영업지원 IT업체 지넥슨에서 비롯됐다고 금감원은 밝혔다. 지넥슨 개발자가 해외 이미지 공유사이트를 이용하는 과정에서 악성코드 링크를 클릭했고, 이에 개발자 PC가 악성 코드에 감염된 것이다. 이 개발자 PC에는 고객사인 GA의 웹서버 접근 URL 및 관리자 ID, 비밀번호가 브라우저의 자동 저장 기능으로 저장돼 있었다.

금감원은 “이 결과 이 PC에 저장돼 있던 GA 14개사(해킹 발생 2개사 포함)의 웹서버 접근 URL 및 관리자 ID, 비밀번호가 유출된 것으로 추정된다”고 설명했다.

유퍼스트에서는 고객 349명, 임직원·설계사 559명 등 총 908명의 개인정보가 유출됐다. 이중 128명의 경우 가입한 보험계약의 종류, 보험회사, 증권번호, 보험료 등 신용정보주체의 보험가입 내용을 판단할 수 있는 신용정보도 유출된 것으로 확인됐다.

하나손해보험의 자회사인 하나금융파인드에서는 고객 199명의 개인정보가 유출됐다. 다만 고객의 보험계약에 관한 거래정보 등 신용정보의 유출은 없었던 것으로 확인됐다.

이밖에 생·손보협회를 통해 진행한 GA 점검 결과, 1개사에서 개인정보 유출 정황이 확인됐다. 유출량은 매우 적은 것으로 추정되지만 보다 정확한 실태파악을 위해 전문기관인 금융보안원이 12개사 전체를 대상으로 추가 검증을 실시할 예정이다.

금감원은 정보 유출 GA·보험회사가 관련 법령에 따라 개인(신용)정보 유출 사살을 고객에게 조속히 개별 통지하도록 조치하고, 보험회사에게는 유출 개인(신용) 정보와 관련한 2차 피해 예방을 위해 필요한 조치를 취하도록 재차 요구할 계획이다.

또 금감원은 정보 유출 GA·보험회사 내 피해상담센터를 설치해 유출로 인한 피해 접수, 관련 제도 문의 등을 적극 상담하고 대응하도록 조치했다. 추가 피해 예방을 위해 GA·보험회사에 대한 ID, 비밀번호 관리 강화, 보안 취약점 점검, 불필요한 고객정보 삭제, 보험영업지원 IT업체 등에 대한 보안관리 강화도 요구했다.

금감원은 보험 소비자들에게도 “개인정보 유출 관련 고객 통지시 URL은 일체 포함하지 않을 예정”이라며 “URL 링크 클릭을 유도하는 문자메시지나 이메일을 수신하는 경우 절대 클릭하지 말고 삭제해달라”고 당부했다.

또 유출된 개인정보를 활용해 보험회사 등 금융회사 홈페이지·앱에 접속해 금융거래를 시도하는 행위도 우려되므로, 개인정보가 유출된 보험소비자의 경우 비밀번호를 변경해 달라고 했다.