웰컴금융그룹 계열 대부업체가 해킹 공격을 받아 대량의 정보가 유출된 정황이 금융당국에 포착됐다.

9일 금융당국에 따르면 금융감독원과 금융보안원이 웰컴금융그룹에 대한 현장 검사를 벌인 결과 수백 기가바이트(GB)에 달하는 정보가 외부 네트워크로 빠져나간 아웃바운드 트래픽(데이터 흐름)을 확인한 것으로 알려졌다. 해당 정보는 신용정보를 보관하는 서버에서 유출된 것으로 고객정보가 유출됐을 가능성이 상당히 높다. 금감원은 유출된 정보가 신용정보 또는 개인정보인지를 확인하고 있다.

웰컴금융그룹은 개인정보유출을 인지할 경우 개인정보보호위원회(개보위)에 즉시 신고해야 한다. 금감원은 웰컴금융그룹에 대한 조치를 검토 중이다. 신용정보가 유출됐다면 금감원이 제재할 수 있지만 대부업체는 전자금융업자가 아니어서 개인정보 유출에 대해서는 금감원이 직접 제재를 할 수 없고, 개보위에 신고토록 조치를 취할 수 있다.

금융당국은 웰컴금융그룹 전산센터와 계열 대부업체인 웰릭스에프앤아이대부에 대한 검사에서 서버 일부가 해킹 공격으로 뚫린 사실을 확인했다. 웰릭스에프앤아이대부 서버에는 대부계약을 맺은 고객들의 정보가 상당히 많은 것으로 알려졌다.

웰컴금융그룹에 대한 해킹 공격을 주장한 러시아계 해커 조직은 다크웹을 통해 1TB(테라바이트) 이상, 파일 132만개 분량의 내부자료를 확보했다고 밝힌 바 있다. 내부 자료에는 고객의 이름·생년월일·주소·계좌·이메일 등이 있다고 주장했다.

웰컴금융그룹이 개보위에 신고를 하지 않을 경우 개보위가 직권으로 조사할 수도 있다. 최근 해킹을 당한 롯데카드 역시 고객 정보가 유출됐을 가능성이 높은 것으로 알려졌다. 롯데카드는 1.7기가바이트(GB) 분량의 정보가 유출된 흔적이 있다고 보고했다. 금융당국은 어떤 정보가 유출됐는지 검사를 벌이고 있으며 검사 과정에서 서버에 최신 보안패치가 설치되지 않은 사실을 확인했다.

롯데카드는 오라클 웹로직(Oracle WebLogic) 서버를 사용했고, 해당 서버는 2017년 심각한 취약점이 발견돼 보안패치가 개발됐다. 하지만 롯데카드는 최근 보안패치를 설치하지 않은 것으로 드러났다.

금감원은 내용연수가 지난 운영체계를 그대로 유지하고 있어서 보안패치 설치가 불가능했는지, 그러한 사실을 인지하고도 롯데카드가 보안 설비 교체를 하지 않은 것인지 등을 확인할 예정이다. 금융당국 관계자는 “사모펀드들이 인수한 회사들이 다른 기업들에 비해 전산 투자를 충분히 하지 않는 것 같고, 그런 부분이 취약했던 것으로 보인다”고 말했다.

보안업계에서는 롯데카드를 인수한 MBK파트너스가 높은 가격에 회사를 매각하기 위해 수익 극대화에 치중하면서 보안 투자를 소홀히 한 것이라는 지적을 하고 있다. 롯데카드가 발간한 2024년 지속가능경영보고서에 따르면 IT예산 대비 정보보호 투자비중은 2021년 12%에서 2022년 10%, 2023년 8%로 점차 줄었다.

이경기 기자 cellin@naeil.com