최근 웰컴금융그룹 계열 대부업체가 랜섬웨어 공격을 받아 금융감독원이 현장 검사에 나선 가운데 서버 일부가 감염된 것으로 알려지면서 개인정보유출 의혹이 커지고 있다.

25일 금융당국에 따르면 금감원과 금융보안원이 웰컴금융그룹 전산센터와 계열 대부업체인 웰릭스에프앤아이대부에 대한 검사에서 서버 일부가 해킹 공격으로 뚫렸으며 악성코드 등에 감염된 사실을 확인한 것으로 알려졌다. 특히 웰릭스에프앤아이대부 서버의 절반 가량은 랜섬웨어 공격으로 데이터 파일이 암호화된 것으로 전해졌다.

웰릭스에프앤아이대부 서버에는 대부계약을 맺은 고객 정보가 상당히 큰 규모로 저장돼 있는 것으로 금감원은 파악하고 있다.

이번 해킹 공격을 자신들이 했다고 주장한 러시아계 해커 조직은 다크웹을 통해 1TB(테라바이트) 이상, 파일 132만개 분량의 내부자료를 확보했다고 밝혔다. 고객의 이름·생년월일·주소·계좌·이메일 등을 가지고 있다고 주장했다.

웰컴측은 이번 해킹이 웰컴금융그룹 내 일부 계열사의 개인PC에서 발생한 것으로 고객에 대한 정보유출은 없다는 입장이다.

하지만 웰릭스에프앤아이대부 서버 규모가 32TB에 달하고 대부계약 과정에서 스캔한 고객 정보 다수가 포함돼 있으며 10년 이상 과거 자료들까지 있는 것으로 알려지면서 개인정보유출 의혹이 사실로 확인될 경우 상당한 파장이 예상된다. 암호화된 데이터에는 어떤 자료가 있는지조차 금융당국이 확인하기 어려운 실정이다.

보안업계 관계자는 “해커들이 서버를 감염시키고 암호화하기 전에 미리 정보를 빼간다는 점에서 서버가 감염됐다는 것은 정보유출 가능성이 매우 높다는 의미”라고 말했다.

또 금융회사가 고객정보를 보유하는 기간이 5~10년이고 이후 폐기해야 하지만 10년 이상 된 거래 자료를 보유하고 있었다면 문제가 될 수 있다. 웰컴금융그룹의 모태인 웰컴크레디라인대부는 2021년말 모든 대출채권을 웰릭스에프앤아이대부로 이전하고 대부업 시장에서 철수했다. 저축은행 인수 조건으로 대부업 시장에서 철수하기로 했기 때문이다.

다만 금융권 전반에 미치는 영향은 크지 않다. 최근 해킹 공격을 맞아 서비스가 전면 중단됐던 SGI서울보증과 달리 웰릭스에프앤아이대부의 영업 범위가 제한적이기 때문이다.

문제는 대부계약을 맺은 고객 상당수는 저신용·저소득층이어서 이들 정보가 유출될 경우 불법사금융과 보이스피싱 등 2차 피해가 발생될 가능성이 높다는 점이다. 이재명 정부가 민생금융 정책을 강조하고 있는 민감한 시기에 취약계층 신용정보의 대거 유출 우려가 커진 셈이다.

금감원과 금융보안원은 실제 정보유출이 발생했는지 확인 중이지만 유출 유무를 찾지 못할 가능성도 있다.

웰컴금융은 이달 초 공격 사실을 인지하고 KISA(한국인터넷진흥원) 개인정보침해 신고센터에 피해 사실을 신고했다. 이미 상당한 시간이 지난만큼 해커들이 유출 흔적을 지웠을 수 있다. 웰릭스에프앤아이대부 서버가 절반만 암호화된 것은 암호화 과정에서 해킹이 적발 되면서 중단됐을 것이라는 게 보안전문가들의 설명이다.

금감원과 금융보안원은 웰컴금융 전산센터의 직원 관리 서버가 공격 받은 사실을 확인했으며 해당 서버에는 임직원 관련 정보들이 들어있는 것으로 알려졌다.

웰컴금융은 계열 저축은행과 자산운용사 서버는 전산센터가 아닌 개별 금융회사들이 관리하고 있어서 해킹을 당하지 않았다는 입장이다. 하지만 금감원과 금융보안원은 전산센터와 개별 금융회사 서버가 연결돼 있었는지, 연결돼 있다면 해킹 공격으로 감염이 됐는지 등을 확인하고 있다.

보안업계 관계자는 “요즘 해커들은 개인정보를 팔아서 돈을 벌기 보다는 그걸 무기로 회사를 압박해서 몸값을 받아내는 경우가 많다”며 “실제 고객 정보 유출이 이뤄졌더라도 유출 여부를 확인하지 못하고 회사가 해커들과 거래를 한다면 개인정보 유출 여부를 알기 어렵다”고 말했다.

최근 랜섬웨어 공격으로 서비스가 상당기간 중단됐던 한 인터넷 업체가 상반기 수십억원의 잡손실을 재무제표에 반영하면서 보안업계에서는 해당 업체가 해커와의 협상 과정에서 상당 금액을 지불한 것 아니냐는 관측도 제기됐다.

이경기 기자 cellin@naeil.com