대부업권 고객정보 털렸다…금감원 "보안 미흡 땐 엄정 제재"

해커, 다크웹 판매·채무면제 피싱까지 시도

금감원, 상위 20개 대부업체 CEO 소집

서울 여의도에 위치한 금융감독원 전경.[사진=유대길 기자 dbeorlf123@ajunews.com]

최근 대부업권에서 해킹사고로 고객정보가 유출되고, 이를 악용한 다크웹 판매·피싱 시도까지 이어지자 금융감독원이 주요 대부업체 최고경영자(CEO)를 소집했다. 금감원은 보안대책 미흡으로 개인신용정보 유출 피해가 발생할 경우 엄정 제재하겠다고 경고했다.

금감원은 13일 대부업권 해킹사고 관련 CEO 간담회를 열었다고 밝혔다. 간담회에는 금감원과 금융보안원, 대부금융협회 관계자, 상위 20개 대부업체 CEO가 참석했다.

이번 조치는 지난 3월 일부 대부업체에서 해킹사고가 발생해 고객정보가 유출된 데 따른 것이다. 해킹은 직원이 업무용 PC로 외부 인터넷 사이트에 접속하는 과정에서 악성코드에 감염되며 시작됐다. 해커는 감염된 PC를 통해 데이터베이스(DB)와 업무시스템에 접근했고, 보안이 취약한 업체에서는 고객정보 유출로 이어졌다.

유출된 정보는 2차 범죄에 악용될 우려도 커졌다. 해커들은 고객정보를 다크웹에 판매하겠다는 글을 올리거나 언론 공개를 빌미로 업체를 협박한 것으로 파악됐다. 또 고객들에게 대부업체 명의로 “코인을 보내면 채무를 면제해주겠다”는 피싱 이메일을 보내는 등 추가 범죄도 시도했다.

금감원은 사고 원인으로 대부업권의 취약한 보안 수준을 지목했다. 대부업체는 신용정보법에 따라 침입차단·탐지시스템 구축, 개인신용정보 암호화, 악성프로그램 침투 방지 등 보안대책을 마련해야 하지만 일부 업체는 보안 인프라 투자와 관리가 부족했던 것으로 나타났다.

김형원 부원장보는 이날 간담회에서 업무용 PC의 인터넷 접속을 엄격히 제한하고, 전문 보안업체의 보안진단에서 확인된 취약점을 즉시 개선하라고 당부했다. 또 개인신용정보처리시스템에 대한 기술적·물리적·관리적 보안대책을 철저히 이행해야 한다고 강조했다.

금감원은 보안대책 수립·시행 의무를 위반해 개인신용정보가 유출될 경우 기관과 임직원 제재는 물론 최대 50억원 이하 과징금과 5000만원 이하 과태료가 부과될 수 있다고 경고했다.