해킹 당한 GA 2곳, 1100명 가량 개인정보 유출 확인

GA 2곳이 해킹당한 사건과 관련해 1100명 가량의 개인정보가 유출된 것으로 나타났다.

금융감독원은 21일 ‘GA 개인정보 침해사고 발생 경과 및 향후 계획’을 통해 “유퍼스트에서 고객 및 임직원 등 908명의 개인정보가 유출됐고 하나금융파인드는 고객 199명의 개인정보가 유출됐다”고 밝혔다.

올해 4월 국가정보원이 일부 GA의 개인정보 침해사고 정황을 최초 인지해 세간에 알려진 이번 해킹 사건은 보험영업지원 IT 업체에서 비롯됐다. 이에 따라 금융보안원이 GA 및 솔루션사에 대한 조사와 분석을 진행했다.

발생 경위를 살펴보면 솔루션사 개발자가 이미지 공유사이트를 이용하는 과정에서 악성코드 링크를 클릭했고 이에 개발자 PC가 악성코드에 감염된 것으로 알려졌다.

개발자 PC에는 고객사(GA) 웹 서버 접근 URL과 관리자 ID와 비밀번호가 자동저장 기능을 통해 저장돼 있었다.

악성코드로 인해 PC에 저장돼 있던 GA 14개사의 웹서버 접근 URL과 관리자 계정이 유출된 것으로 추정된다.

유퍼스트의 경우 일부 고객정보(128명)는 가입한 보험 계약의 종류, 보험회사, 증권번호, 보험료 등 신용정보주체의 보험가입 내용을 판단할 수 있는 신용정보도 포함돼 있다.

이외 12개사에 대해 생·손보협회를 통해 진행한 보험회사의 GA 점검 결과 1개사에서 개인정보 유출 정황이 확인됐다.

유출량은 매우 적은 것으로 보이나 보다 정확한 실태파악을 위해 금융보안원을 통해 12개사 전체를 대상으로 추가 검증을 실시한다.

금감원은 정보유출 GA·보험사로 하여금 관련 법령에 따라 개인정보 유출사실을 고객에게 조속히 개별 통지토록 했다.

또 보험회사에게는 유출 개인정보와 관련된 2차 피해를 막기 위해 필요한 조치를 취하도록 재차 요구한다.

금감원은 정보 유출 GA·보험사 내 피해상담센터를 설치해 유출로 인한 피해 접수, 관련 제도 문의 등을 적극 상담하고 대응할 예정이다.

금감원은 추가 피해 예방을 위해 GA·보험사에 대한 계정관리 강화, 보안취약점 점검, 불필요한 고객 정보 삭제, 솔루션사에 대한 보안관리 강화 등을 요구하겠다는 방침이다.

개인신용정보 유출 GA에 대한 현장검사를 실시해 필요 조치를 취할 계획을 금감원은 가지고 있다.

금감원은 “개인정보 유출 사실 통지를 빙자한 스미싱 등을 예방하기 위해 이번 개인정보 유출 관련 대 고객 통지시 URL은 일체 포함하지 않을 예정이다”며 “보험소비자들은 개인정보 유출 등을 언급하며 URL 링크를 클릭하도록 유도하는 문자메시지나 이메일을 수신하는 경우 삭제해 주기를 바란다”고 전했다.

이어 “유출된 개인정보를 활용해 보험회사 등 금융회사 홈페이지나 앱에 접속해 금융거래를 시도하는 행위도 우려된다”며 “개인정보가 유출된 보험소비자는 홈페이지나 앱 접속을 위한 비밀번호를 변경해달라”고 요청했다.