법인보험대리점(GA)에서 해킹 사건이 발생해 고객과 보험설계사 등 1107명의 개인정보가 유출된 것으로 확인됐다. SK텔레콤 해킹 사건으로 개인정보 유출의 심각성이 드러난 가운데 금융권에서 개인정보 침해사고가 발생한 것이다.

20일 금융감독원은 “해킹이 발생한 GA 2곳에 대한 금융보안원(금보원) 점검 결과 1107명의 개인정보가 유출됐다”며 “생·손보협회를 통해 진행한 보험회사(위탁사)의 GA(수탁사) 점검(로그기록 분석) 결과, (또 다른)1개사에서 개인정보 유출 정황이 확인됐다”고 밝혔다. 금감원은 “유출량이 매우 적은 것으로 추정되나, 보다 정확한 실태파악을 위해 전문기관인 금보원을 통해 추가 검증을 실시(12개사 전체 대상)할 예정”이라고 설명했다. 또 다른 2개사에서도 침해 정황이 확인됐지만 개인정보 유출 정황은 없었다.

해킹 피해를 입은 A법인보헙대리점은 고객 및 임직원 등 908명(고객 349명, 임직원·설계사 559명)의 개인정보가 유출됐다. 일부 고객정보(128명)의 경우 가입한 보험계약의 종류, 보험회사, 증권번호, 보험료 등 신용정보주체의 보험가입 내용을 판단할 수 있는 정보(신용정보)도 포함된 것으로 확인됐다. B법인보험대리점은 고객 199명의 개인정보가 유출됐다. 다만 고객의 보험계약에 관한 거래정보 등 신용정보의 유출은 없었던 것으로 확인됐다.

이번 사건은 지난달 국가정보원이 일부 GA사의 개인정보 침해사고 정황을 처음 인지하면서 불거졌다. 조사결과 보험영업지원 IT업체(솔루션사)가 악성코드에 감염된 게 원인으로 드러났다. 솔루션사 개발자가 이미지 공유사이트(해외)를 이용하는 과정에서 악성코드 링크를 클릭했고, 개발자 PC가 악성코드에 감염됐다. 개발자 PC에는 고객사(GA) 웹서버 접근 URL과 관리자 ID/비밀번호가 저장(브라우저의 자동 저장 기능)돼 있었고 악성코드로 인해 해당 PC에 저장돼 있던 GA 14개사(해킹 발생 2개사 포함)의 웹서버 접근 URL 및 관리자 ID/비밀번호가 유출된 것으로 금감원은 추정했다.

금감원은 정보 유출 GA와 보험회사로 하여금 관련 법령에 따라 개인정보 유출사실을 고객에게 조속히 개별 통지하도록 했다. 보험회사에는 유출 개인정보와 관련된 2차 피해 예방을 위해 필요한 조치를 취하도록 재차 요구할 계획이다. 또 개인신용정보 유출 GA에 대한 현장검사를 실시해 필요 조치를 취할 예정이다.

금감원은 “개인정보 유출사실 통지를 빙자한 스미싱 등을 예방하기 위해 이번 개인정보 유출과 관련한 고객 통지(휴대폰 문자메시지/이메일 이용 예정)시 URL은 일체 포함하지 않을 예정”이라며 “개인정보 유출 등을 언급하며 URL 링크를 클릭하도록 유도하는 문자메시지나 이메일을 수신하는 경우 절대 클릭하지 말고 삭제해야 한다”고 주의를 당부했다.

이경기 기자 cellin@naeil.com