지난 4월 법인보험대리점(GA) 2곳에서 발생한 해킹 사고로 가입 고객과 임직원 개인정보 1107건이 유출된 것으로 확인됐다. 이외에도 새로운 GA 1곳에서 추가로 개인정보 유출 정황이 나와 조사가 이어지고 있다.
금융감독원이 20일 발표한 금융보안원 점검 결과에 따르면 보험영업지원 IT업체 지넥슨 해킹으로 GA 14개사 관리자 계정이 유출됐다. 이 계정으로 유출된 성명, 전화번호 등 개인정보는 1107건으로 집계됐다. 지넥슨 개발자는 해외 이미지 공유사이트를 이용하는 과정에서 악성코드에 감염된 것으로 확인됐다.
유퍼스트보험에서 고객 및 임직원 908명의 개인정보가 유출됐다. 임직원 559명에 대해서는 성명이나 전화번호만 유출됐으나 고객 349명은 성명, 주민번호, 전화번호, 생년월일 등이 유출됐다. 그 중 고객 128명은 가입한 보험계약 종류와 보험회사, 증권번호, 보험료 등 보험가입 내용을 판단할 수 있는 정보도 함께 유출됐다. 단, 보험금 지급과 질병에 대한 정보는 대리점이 갖고 있지 않아 유출되지 않았다.
하나금융파인드에서도 고객 199명의 성명, 주민번호, 전화번호 등 개인정보가 유출됐으나 보험계약 정보 등은 유출되지 않았다. 한 금융권 관계자는 “주민번호 전체가 유출된 경우도 있고 생년월일 부분만 유출된 경우도 있는 것으로 안다”고 밝혔다. 해킹이 발생한 관리프로그램 고객사인 GA 12개사를 전수 확인한 결과 그 외에도 GA 1개사에서 개인정보가 소량 유출된 정황이 발견됐다.
금감원은 금보원을 통해 12개사 전체를 대상으로 추가 검증을 실시할 예정이다. 관리프로그램을 개발한 지넥슨의 서비스를 사용 중인 여타 회사 43개사에 대해서도 비정상 인터넷주소(IP) 접속 등을 확인하기로 했다.
금감원은 향후 개인정보 또는 신용정보가 유출된 사실을 고객에게 빠르게 개별 통지하도록 GA와 보험사에 지시할 예정이다. 유출로 인한 피해 접수와 관련 제도 문의를 할 수 있도록 정보 유출 GA와 보험회사 내에 피해상담센터를 설치하는 절차도 진행한다.
보험사와 GA에는 보안 강화 등을 당부했다. 특히 보험계약대출이나 적립금 중도인출, 보험계약 해지 및 변경 등 2차 피해가 발생하지 않도록 조치를 요구했다. 이외에도 관리자 계정 관리와 불필요한 고객정보 삭제, IT 기업에 대한 보안관리 강화를 요구하고 향후 면밀히 살펴보기로 했다.
또한 보험 소비자들이 이번 유출을 언급하며 클릭을 유도하는 링크 등을 절대 클릭하면 안 된다고 강조했다. 당국과 GA는 스미싱 범죄에 대비해 이번 개인정보 유출에 대해 고객에게 알림 문자나 이메일에 URL 링크를 일절 넣지 않을 방침이다.
이외에도 유출 피해 고객은 이름이나 생년월일, 주민번호로 유추할 수 있는 아이디나 비밀번호를 사용하고 있다면 변경할 것을 권고했다. 금감원은 유출된 개인정보를 활용해 금융회사 홈페이지나 앱에 접속해 금융거래를 시도하는 행위를 우려하고 있다.
