하나금융파인드·유퍼스트 등 대형 GA 2곳에서 유출

지난달 해킹 사고가 발생한 법인보험대리점(GA) 하나금융파인드와 유퍼스트 등 2곳에서 고객 및 임직원 1000명의 개인정보가 유출된 것으로 드러났다.

20일 금융감독원은 지난달 GA 2곳에서 발생한 시스템 해킹 사고 발생과 관련해 'GA 개인정보 침해사고 발생 경과 및 향후 계획'을 발표했다.

지난 4월 국가정보원은 하나금융파인드와 유퍼스트에 대한 개인정보 유출사고 정황을 처음으로 인지했다. 금융보안원 조사 결과, 보험영업지원 IT업체인 지넥슨 개발자가 해외 이미지 공유사이트를 이용하는 과정에서 악성코드 링크를 클릭한 것이 사고의 발단이 됐다. 해당 클릭으로 개발자 PC가 악성코드에 감염된 것이다.

해당 개발자 PC에는 고객사인 GA의 웹서버 접근 URL과 관리자 ID·비밀번호가 저장돼 있어 이 PC에 저장돼 있던 GA 14개사의 웹서버 접근 URL과 관리자 ID·비밀번호가 유출된 것으로 추정된다.

대형 GA인 유퍼스트보험마케팅에서는 고객 349명의 성명·주민등록번호·전화번호 등이, 임직원·설계사 559명의 성명·전화번호 등이 빠져나갔다.

일부 고객정보(128명)의 경우 가입한 보험계약의 종류, 보험사 증권번호, 보험료 등 보험가입 내용을 판단할 수 있는 신용정보도 포함된 것으로 확인됐다.

하나금융파인드에서는 고객 199명의 개인정보가 유출됐으나 고객의 보험계약에 관한 거래정보 등의 유출은 없었던 것으로 나타났다.

이와 함께 금감원은 해당 IT업체의 고객사인 나머지 12개사에 대해서도 로그기록을 분석한 결과 1개사에서 개인정보 유출 정황이 확인됐다고 밝혔다. 2개사에서는 침해 정황은 있었지만 개인정보 유출은 없는 것으로 파악됐다.

금감원은 "12개사의 유출량은 매우 적은 것으로 추정되나 정확한 실태파악을 위해 금융보안원을 통해 추가 검증을 실시할 예정"이라며 "해당 IT업체의 서비스를 사용 중인 다른 GA 43개사에 대해서도 이상 IP 접속 확인이 필요하다"고 설명했다.

금감원은 개인정보가 유출된 GA와 보험사에 대해 고객에게 정보 유출 사실을 신속하게 통지하도록 했다. 또 유출된 개인정보와 관련된 2차 피해 예방을 위해 보험사들이 필요한 조치를 취하도록 요구했다.

이와 함께 정보 유출 GA와 보험사 내 피해상담센터를 설치해 유출로 인한 피해를 접수할 방침이다.

금감원 관계자는 "개인신용정보 유출 GA에 대한 현장검사를 실시해 필요 조처를 할 것"이라며 "앞으로도 빈틈없는 대응을 위해 국정원, 개인정보보호위원회 등 유관기관과 지속 공조·소통할 것"이라고 말했다.