금융감독원은 지난 4월 발생한 고객정보 해킹 사건과 관련해 현대캐피탈과 임직원을 징계하기로 했다. 징계 검토 대상에는 정태영 현대캐피탈 사장도 포함된 것으로 알려졌다.
금융감독원은 18일 이 회사 해킹사고 검사결과 중간발표에서 “해커가 약 175만명의 고객정보를 해킹한 것으로 드러났다”며 “이는 현대캐피탈이 전자금융거래법 등 관련 법규에서 정한 사고예방대책을 소홀히 한 결과”라고 밝혔다. 금감원은 이 회사와 임직원에 대한 징계 조치를 내리기로 했다. 내용은 제재심의위원회의 심의를 거쳐 확정할 계획이다.
금감원 검사 결과에 따르면 이번 사건은 일부 고객 비밀번호를 암호화하지 않은 때문인 것으로 나타났다. 본지 4월 11일자 1면 참조
현대캐피탈은 메인 서버에 보관하는 고객 비밀번호는 암호화했지만 고객정보 조회·생성·변경사실 등이 기록되는 로그파일에 남아 있는 비밀번호는 암호화하지 않은 것으로 밝혀졌다.
현대캐피탈은 해킹침입방지와 차단시스템 관리도 소홀했던 것으로 드러났다. 현대캐피탈은 2월 15일부터 4월 6일까지 해킹사고와 동일한 IP(인터넷 프로토콜)의 해킹 시도에 대해서도 패턴 분석과 IP 접속 차단 등의 예방조치를 하지 않았다. 아웃소싱 업체와 ‘해킹시도정보 통보기준’도 명확히 정하지 않았으며 해킹파일로 의심되는 확장자의 필터링과 파일 업로드 차단 등의 대응조치 역시 미흡했다.
금감원은 검사종료일인 지난달 29일까지 해킹 정보 중 인터넷에 노출된 정보는 없으나 해킹된 고객정보의 매매와 인터넷 유포 등에 따른 2차 피해 가능성은 배제할 수 없다고 밝혔다.
금감원 관계자는 “현대캐피탈과 농협의 검사 결과를 토대로 내달 중 금융 IT보안 강화 및 사고 재발 방지 대책을 마련해 발표할 계획”이라고 말했다.
한편 현대캐피탈은 사건 재발 방지를 위해 사장 직속으로 30명 규모의 정보보안팀을 신설하고 최고정보보호책임자(CSO)도 두기로 했다. 또 IT보안시스템 개선을 위한 컨설팅 작업도 착수했다.
현대캐피탈은 해킹 사건 이후 피해대책센터에 4만9700여건의 문의가 있었으며 이 가운데 불만을 토로한 것은 400건이라고 밝혔다. 나머지는 현대캐피탈과 현대카드의 안정성에 대한 단순 문의였다고 설명했다.
한편, 금융위원회와 금융감독원은 공공 및 민간 금융보안 전문가들과 합동으로 하나은행, 대한생명 등 대형 금융회사를 포함한 총 40개 금융회사를 대상으로 IT·보안 실태점검을 이달말까지 진행키로 했다. 점검 대상에는 은행·증권·카드 각 4개사, 생명보험·손해보험·할부금융·리스 각 상위 5개사와 저축은행 상위 8개사가 포함됐다.
박창규기자 kyu@etnews.co.kr