금감원 "해킹된 GA 2곳서 고객·임직원 1100여명 개인정보 유출"

여러 보험사의 상품을 위탁판매하는 GA(법인보험대리점)업계에서 고객 및 임직원 1100여명의 개인정보가 해킹으로 인해 유출된 사실이 20일 확인됐다.

금융당국은 2차 피해를 예방하는 등 피해상담센터 설치, 유출 GA에 대한 현장검사 실시 등 필요 조치를 취할 계획이다.

금감원과 금융보안원은 이날 'GA 개인정보 침해사고(해킹) 발생 경과 및 향후 계획'을 통해 "GA 14개사의 관리자 정보가 악성코드로 인해 유출됐고, GA 2개사에서 고객 및 임직원 1107명의 개인정보가 유출됐다"고 밝혔다.

해킹 사고는 지난달 국가정보원이 최초 인지했다. 다크웹에서 신원미상의 해커가 GA 2개사의 개인정보를 탈취·공개하려는 정황을 확인하면서다.

이번 해킹이 보험영업지원 IT업체(전산솔루션사)에서 비롯된 정황도 확인됨에 따라 금융보안원이 GA 및 솔루션사에 대한 조사·분석을 진행했다.

금감원은 "GA 전산솔루션사 개발자가 이미지 공유사이트(해외)를 이용하는 과정에서 악성코드 링크를 클릭했고, 이에 개발자 PC가 악성코드에 감염된 것으로 확인됐다"며 해킹 사고 발생 경위를 밝혔다.

개발자 PC에는 고객사(GA) 웹서버 접근 URL 및 관리자 ID·비밀번호가 저장돼 있었다. 악성코드로 인해 해당 PC에 저장돼 있던 GA 14개사(해킹 발생 2개사 포함)의 웹서버 접근 URL 및 관리자 ID·비밀번호가 유출된 것으로 추정된다고 금감원은 설명했다.

해킹 사고가 발생한 2개 GA 중 A사에서는 349명의 고객과 559명의 임직원·설계사의 개인정보가 유출됐다. 일부 고객정보(128명)의 경우 가입한 보험계약의 종류, 보험회사, 증권번호, 보험료 등 신용정보주체의 보험가입 내용을 판단할 수 있는 정보(신용정보)도 포함된 것으로 확인됐다.

B사에서는 고객 199명의 개인정보가 유출됐다. 다만 고객의 보험계약에 관한 거래정보 등 신용정보의 유출은 없었던 것으로 확인됐다.

여타 12개사의 경우 생·손보혐회를 통해 진행한 보험사의 GA 점검 결과, 1개사에서 개인정보 유출 정황이 확인됐다.

유출량은 매우 적은 것으로 추정됐지만 보다 정확한 실태파악을 위해 전문기관인 금융보안원이 12개사를 대상으로 추가 검증을 실시하겠다는 계획이다.

금융당국은 "정보 유출 GA·보험회사로 하여금 관련 법령에 따라 개인(신용) 정보 유출사실을 고객에게 조속히 개별 통지토록 하고, 보험회사에게는 유출 개인정보와 관련된 2차 피해 예방을 위해 필요한 조치를 취하도록 재차 요구할 계획"이라고 밝혔다.

또한 "정보 유출 GA·보험회사 내 피해상담센터를 설치해 유출로 인한 피해 접수, 관련 제도 문의 등을 적극 상담·대응할 예정"이라며 "추가 피해 예방을 위해 GA·보험회사에 대한 ID·비밀번호 관리 강화, 보안 취약점 점검, 불필요한 고객정보 삭제, 솔루션사에 대한 보안관리 강화 등을 재차 요구할 계획"이라고 강조했다.

금감원은 개인신용정보 유출 GA에 대해 현장검사도 실시해 필요 조치를 취할 예정이다. 당국은 "향후에도 금감원, 금보원, 생명·손해보험협회는 빈틈 없는 대응을 위해 국정원, 개인정보보호위원회 등 유관기관과 지속 공조·소통해나갈 예정"이라고 했다.

보험소비자를 향해서도 "개인정보 유출 관련 대상 고객 통지(휴대폰 문자메시지·이메일 이용 예정) 시 URL은 일체 포함하지 않을 것"이라며 "URL 링크를 클릭토록 유도하는 문자메시지나 이메일을 수신하는 경우 절대 클릭하지 마시고 삭제해 주시기 바란다"고 당부했다. 또 금전이나 앱 설치 요구에 응하지 않을 것과 비밀번호 변경을 요구했다.