금감원, 대부업 잇따른 해킹사고에 보안 점검···"정보 유출시 강력 제재"

최근 대부업권에서 해킹사고가 잇따르자 금융당국이 보안대책 전반에 대한 점검과 이행 강화를 주문했다. 부실한 보안 조치로 개인신용정보가 유출될 시 엄중 제재하겠다는 방침도 분명히 했다.

김형원 금융감독원 민생금융 담당 부원장보는 13일 대부업권 20개사 최고경영자(CEO)와 간담회를 열고 이같이 밝혔다.

이는 올 들어 대부업체 두 곳에서 해킹사고가 잇따라 발생하고 일부 고객정보 유출까지 이어진 데 따른 조치다.

최근 대부업권 해킹사고는 직원이 업무용 PC로 외부 인터넷 사이트에 접속하는 과정에서 악성코드에 감염되며 시작된 것으로 파악됐다.

해커는 감염된 PC를 발판으로 고객정보 탈취를 목적으로 데이터베이스(DB)와 업무시스템 접근을 시도했고, 방화벽 등 접근통제가 취약한 일부 업체에서는 이를 차단하지 못해 고객정보 유출로 이어졌다.

이후 탈취된 정보는 다크웹에 판매되거나 언론 공개를 빌미로 한 협박 수단으로 활용되는 등 추가 범죄로 확산되고 있다. 이외에도 고객들에게 '코인을 전송하면 채무를 면제해주겠다'며 대부업체 명의로 피싱 이메일을 보내는 등 추가 범죄를 시도하기도 했다.

당국은 해킹 사고 원인에 대해 침입차단·탐지시스템 등 보안 수준이 취약한 일부 대부업체에서 방어에 실패하며 발생한 것으로 보고 있다. 정보보안의 중요성을 간과해 관련 인프라에 대한 투자와 관리가 부족했던 점이 근본 원인이라는 설명이다.

이에 따라 김형원 부원장보는 "해킹사고 재발에 대비해 업무용 PC의 인터넷 접속 제한과 보안진단 실시 및 취약점 개선, 신용정보법상 보안대책 이행이 필요하다"고 강조했다.

구체적으로 악성코드 감염을 방지하기 위해 업무용 PC의 SNS 및 인터넷 사이트(뉴스 검색 등) 접속을 엄격히 제한하고, 상위 대부업체가 전문 보안업체를 통해 실시 중인 보안진단에서 취약점이 발견될 경우 즉시 개선할 것을 강조했다.

아울러 개인신용정보처리시스템에 대한 침입차단·탐지시스템 설치와 개인신용정보 암호화 등 기술적·물리적·관리적 보안대책을 수립하고 철저히 이행할 것을 당부했다.

또 부실한 보안 조치로 인한 개인신용정보 유출 시 제재 수준이 엄중함을 인식하고 보안 역량 강화에 적극 나설 필요가 있다고 언급했다.

대부업권은 "영세 업체의 경우 신용정보법상 보안대책 이행에 어려움이 있어 감독당국과 대부금융협회의 지원이 필요하다"며 "정보보안 관련 내부통제를 강화하고 신뢰성을 높이기 위해 당국과 적극 협력하겠다"고 밝혔다.

금융감독원은 신용정보법상 정보보안의 중요성에 대한 인식 제고를 위해 대부금융협회와 함께 설명자료를 마련하고, 해킹사고 여파로 대부이용자의 2차 피해가 발생하지 않도록 모니터링을 강화할 방침이다.