현대캐피탈 해킹으로 고객 175만명 정보가 유출된 것으로 드러났다. 전체 고객 수가 180만여 명임을 감안하면 거의 모든 고객 정보가 유출된 셈이다.
금융감독원은 지난달 8일 발생한 현대캐피탈 고객정보 해킹사고 검사 결과 이같이 드러났다고 17일 밝혔다. 사고 당시 현대캐피탈 측은 주민등록번호 등이 유출된 고객은 42만명, 신용대출 상품인 프라임론 패스번호와 비밀번호가 유출된 고객은 1만3000명 등으로 추산했다.
정보 유출 피해를 입은 175만명은 주민등록번호와 성명 등이 유출된 것으로 알려졌다. 프라임론 패스번호와 비밀번호가 유출된 피해자 수는 제외됐다. 해킹은 이미 지난 2월부터 시도를 하다 지난 3월 6일 이후 실제 실행된 것으로 드러났다. 해커가 업무관리자 ID와 비밀번호를 습득해 보조서버인 광고메일 발송서버와 정비내용 조회서버에 침입하는 방식으로 이뤄졌다.
금감원은 해킹사고 주원인으로 현대캐피탈의 안이한 보안의식을 꼽았다. 현대캐피탈이 전자금융거래법 등 사고예방대책을 충실히 이행하지 않아 해킹사고의 단초를 스스로 제공했다는 것이다.
외부에서 접속 가능한 ID와 비밀번호를 업무 성격상 필요하지 않으면서도 부여했고, 담당직원이 퇴직한 후에도 ID와 비밀번호를 삭제하지 않는 등 보안 의식 자체가 부족했다. 퇴직한 직원이 재직 시 사용하던 ID로 정비내용 조회서버에 7차례나 무단 접속하는 어처구니없는 `촌극`도 벌어졌다.
또 해킹침입방지 시스템이 해킹사고 때와 동일한 IP로 접근한 해킹시도를 찾아냈지만 이를 무시한 것도 사고의 큰 원인이 됐다. 해킹파일로 의심되는 프로그램을 제대로 차단하지도 못했다.
특히 해킹사고가 발생했을 때 정보 유출을 최소화할 수 있는 고객 비밀번호 암호화 작업과 주민등록번호 뒷자리 숨김표시 역시 하지 않았다.
아직까지 정보 유출로 인한 피해는 확인되지 않고 있지만 2차 피해 발생 가능성은 여전히 남아 있다.
금감원 관계자는 "현재까지 인터넷에 정보가 유포된 것은 없지만 2차 피해 가능성은 여전히 남아 있다"며 "해커가 고객 정보를 다운로드한 것으로 보이는 만큼 매매 유포 가능성은 있다"고 말했다.
정태영 현대카드ㆍ캐피탈 사장에 대한 징계 가능성도 점쳐지고 있다.
금감원은 현대캐피탈에 대한 조치를 제재심의위원회 심의를 거쳐 최종 확정할 예정이다. 국민 불안을 초래하고 사회 문제가 된 점 등을 감안해 회사와 임직원에게 책임을 묻겠다는 게 금감원 측 방침이다. 제재심의위원회 결정이 내려지기까지는 1~2개월 정도 소요될 전망이다.
금감원 관계자는 "금융위원회와 금융감독원은 민관 합동 태스크포스(TF)를 구성해 금융사 IT 보안실태를 점검하고 있다"며 "현대캐피탈과 농협에 대한 검사 결과를 토대로 다음달 IT 보안 강화와 사고 재발 방지대책을 마련할 예정"이라고 설명했다.
[매일경제 박용범 기자 / 최승진 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]