해킹 사고로 드러난 '규제 사각'…GA, 금융사 아니라 '보안 감독' 비켜갔다

(서울=뉴스1) 박재찬 보험전문기자 = 지난 4월 일부 GA(법인보험대리점)에서 발생한 개인정보 해킹 사고에 대한 금융당국의 조사와 피해 방지 조치가 최근 완료됐다. 하지만 보안업계에서는 이번 조치가 '사후약방문식 대응'이라는 비판이 나왔다.

금융권에서는 GA도 보안관리체계 수립을 통해 보험사 수준의 정보보호 감독을 받아야 한다는 지적이 나오고 있다.

18일 보험업계에 따르면 금융감독원, 금융보안원, 생명·손해보험협회가 지난 4월 일부 법인보험대리점(GA)에서 발생한 개인정보 해킹 사고 관련 1차 점검을 마치고, 피해 고객 통지와 2차 피해 방지 조치까지 완료했다.

이번 GA 개인정보 유출 사태는 지난 4월 국가정보원이 GA 2개사의 개인정보 해킹 정황을 최초 인지하면서 시작됐다. 이후 신원미상의 해커가 GA의 개인정보를 탈취·공개하려는 정황도 확인됐다. 해킹은 보험 영업지원 IT업체인 '지넥슨'에서 비롯된 정황까지 파악되면서, 금융보안원은 해당 GA와 지넥슨를 대상으로 약 한 달간의 조사와 분석을 진행했다.

해킹을 당한 IT업체 지넥슨의 업무지원 프로그램은 50여 개 GA가 사용하고 있는 시스템이다. 지넥슨 업무지원 프로그램이 GA협회와 시스템 연동이 편해 많은 GA들이 사용하고 있는 것으로 알려졌다. 실제 지난해 7월 보험GA협회(당시 한국보험대리점협회)는 지넥슨과 IT 고도화와 GA 업무지원 플랫폼을 통한 보험산업의 혁신 및 발전을 위해 업무협약(MOU)을 체결한 바 있다.

금융보안원의 약 한달여간의 조사 결과 지넥슨의 개발자가 해외 이미지 공유사이트를 이용하는 과정에서 악성코드 링크를 클릭해 개발자 PC가 악성코드에 감염된 것으로 드러났다.

개발자 PC에는 고객사인 GA 웹서버 접근 URL 및 관리자ID와 비밀번호가 저장돼 있었고, 악성코드로 인해 개발자의 PC에 저장돼 있던 GA 14개사의 웹서버 접근 URL과 관리자 ID·비밀번호가 유출된 것으로 추정된다. 실제 해커는 해킹에 성공한 2개 GA사의 홈페이지 화면을 다크웹에 공유했던 것으로 알려졌다.

이로 인해 대형 GA인 유퍼스트보험마케팅의 고객 349명과 임직원 및 설계사 559명, 총 908명의 개인정보가 유출됐다. 이 중 128명의 고객은 가입한 보험계약의 종류, 보험사, 증권번호, 보험료 등 신용정보주체의 보험가입 내용을 판단할 수 있는 신용정보도 포함된 것으로 확인됐다. 또 하나금융파인드의 경우 고객 199명의 개인정보가 유출됐다.

다만, 고객의 보험계약에 관한 거래정보 등 신용정보의 유출은 없었던 것으로 확인됐다. 이밖에 지넥슨의 고객사인 나머지 12개사에 대해서도 로그기록을 분석한 결과 1개사에서 개인정보 유출 정황이 확인됐고, 2개사에서는 침해 정황이 확인됐으나 개인정보 유출 정황은 없는 것으로 파악됐다.

문제는 이번 GA 개인정보 유출 사태가 영업지원 IT업체인 '지넥슨'이 기본적 보안 상태를 갖추지 않아 벌어진 해킹 사고라는 점이다.

이번 해킹 사고는 보안 시스템을 우회하는 정교한 수법에 의해 벌어진 사고가 아닌, 관리자 계정 정보를 브라우저에 자동 저장해 놓고 이를 전혀 암호화하지도 않아 벌어진 사고다. 지넥슨은 다수 GA의 시스템을 실질적으로 관리하면서도 보안 설계나 접근 통제 체계가 허술했다.

보험사들은 정보보호 전담 조직을 구성하고 망분리를 통해 중요 시스템을 물리적으로 분리하는 등 정보보호 관리체계를 수립해 수행하고 있다. 보험사는 '금융회사'로 분류돼 '전자금융감독규정' 등 법적 감독 체계의 적용을 받고 있기 때문이다.

반면 GA는 개인정보를 대량으로 다루면서도 금융사와 비교해 정보보호 규제가 허술하다. GA는 보험사를 대리해 보험을 모집하거나 고객에게 서비스를 제공하는 위탁업체로 금융사가 아니기 때문에 법적 규제의 사각지대에 놓여 있는 상황이다.

이에 보험업계에서는 GA가 다루는 정보의 민감도와 범위를 고려할 때 GA도 보험사와 비슷한 수준의 정보보호 규제를 받아야 한다는 지적이 나오고 있다.

업계 관계자는 "GA가 관리하는 개인정보는 보험사의 핵심 자산과 다름없지만, 실제 보안투자와 감독 수준은 중소기업보다도 못한 경우가 많다"며 "이런 상황에서 IT위탁사 하나에 수십 개 보험대리점의 접근권한이 집중돼 있는 구조는 언제든 재발 가능한 폭탄이나 다름없다"고 말했다.

여기에 이번 GA 개인정보 유출 사태에 대한 금융감독원의 후속 조치도 '사후약방문식 대응'이라는 비판이 나왔다. 또 지난 수년간 GA를 대상으로 한 유사한 보안 사고가 지속되고 있지만, 보안 체계 고도화나 규제 강화에는 지지부진하다는 지적도 이어지고 있다.

실제로 GA 개인정보 해킹 사태 이후 유출 사실을 악용한 스미싱 문자나 피싱 이메일이 빠르게 유포됐으나, 대응 수단은 단순한 'URL 클릭 주의'와 같은 예방 메시지 수준에 그쳤고, 금융당국이 강조한 '고객 통지'와 '2차 피해 방지 조치' 역시 소비자들 사이에서는 실효성에 의문이 제기되기도 했다.

업계 관계자는 "이번 사고는 보험업계 전반의 디지털 보안 체계가 얼마나 취약한지를 여실히 보여준 사례이며, GA와 보험사, 금융당국 모두가 안일하게 공유한 책임의 결과다"라고 말했다. 이어 "정보보호 강화는 더 이상 선택이 아닌 필수이며, GA에 대한 정보보호 인증제 도입, 접근 권한 다중화, IT 위탁사에 대한 실질적 보안 점검 체계 수립 등이 시급하다"고 강조했다.

jcppark@news1.kr