법인보험영업대리점(GA)에서 고객과 임직원 개인정보 침해사고(해킹)가 발생한 것으로 드러났다. 국가정보원이 해킹 정황을 인지한 후 금융보안원 점검 결과 2개 GA(유퍼스트·하나금융파인드)에서 1100여명의 개인정보가 유출됐다.
감독당국은 개인정보 유출 사실을 고객에게 통지하고 2차 피해 예방 조치를 취한다는 방침이다. 특히 개인정보 유출사실 통지를 빙자한 스미싱 등에 유의해야 한다는 점을 당부했다.
금융감독원은 해킹이 발생한 GA 2개사에 대한 금융보안원 점검 결과 1107명의 개인정보가 유출됐다고 20일 밝혔다.
GA 두 곳은 유퍼스트와 하나금융파인드다. 유퍼스트에선 고객과 임직원 908명(고객 349명, 임직원·설계사 559명), 하나금융파인드는 고객 199명 개인정보가 유출됐다.
이번 해킹은 보험영업지원 IT업체(솔루션사)에서 비롯된 것으로 확인됐다. 솔루션사 개발자가 이미지 공유사이트(해외)를 이용하는 과정에서 악성코드 링크를 클릭했고, 개발자 PC가 악성코드에 감염됐다. 악성코드로 인해 PC에 저장돼있던 GA14개사(해킹발생 2개사 포함)의 웹서버 접근 URL과 관리자 ID·비밀번호가 유출된 것으로 추정된다.
유퍼스트의 경우 128명의 고객은 가입한 보험계약 종류와 보험사, 증권번호와 보험료 등 신용정보 주체의 보험가입 내용을 판단할 수 있는 정보(신용정보)가 포함됐다. 하나금융파인드는 고객의 보험계약에 관한 거래정보 등 신용정보 유출은 없었다.
그외 12개사는 생·손보협회를 통해 진행한 보험사의 GA 점검을 통해 1개사에서 개인정보 유출 정황이 확인됐다. 유출량은 매우 적은 것으로 추정되지만 정확한 실태파악을 위해 금융보안원을 통해 추가 검증을 실시한다는 계획이다.
금감원은 정보 유출 GA와 보험사에 관련 법령에 따라 개인정보 유출 사실을 고객에게 조속히 개별 통지토록 하고, 보험사에게는 유출 개인 정보와 관련된 2차 피해 예방을 위해 필요한 조치를 취하도록 요구할 방침이다.
정보 유출 GA와 보험사 내 피해상담센터를 설치해 피해 접수와 관련 제도 문의 등을 대응하고, 추가 피해 예방을 위해 보안관리 강화 등도 재차 요구할 예정이다.
개인신용정보 유출 GA에 대해선 현장검사를 실시해 필요 조치를 취하고 유관 기관과 지속 공조·소통도 이어간다.
금감원은 개인정보 유출사실 통지를 빙자한 스미싱 등에 유의할 것을 당부했다. 또 유출 피해고객은 금융사 홈페이지나 앱에서 비밀번호 변경도 필요하다.
금감원 관계자는 "개인정보 유출 관련 고객 통지 시 URL은 포함하지 않을 예정"이라며 "개인정보 유출 등을 언급하며 URL 링크를 클릭하도록 유도하는 문자메시지나 이메일을 수신하는 경우 클릭하지 말고 삭제해 달라"고 밝혔다.
