[소셜밸류=황동현 기자] 철저한 보안이 생명인 금융권에서 허술한 관리로 고객 정보를 방치한 저축은행이 철퇴를 맞았다. 금융당국은 보안 취약점을 방치해 대규모 해킹 사고를 초래한 모아저축은행에 대해 14억원에 달하는 대규모 과징금과 과태료를 부과했다.

◇ '모아론' 홈페이지가 통로...7146명 정보 유출

 

30일 금융당국에 따르면 최근 금융감독원은 모아저축은행에 대해 기관주의 제재와 함께 과징금 12억4000만원, 과태료 1억6000만원을 각각 부과했다. 이번 제재는 지난 2023년 9월 발생한 해킹 사고에 따른 후속 조치다.

 

▲모아저축은행/사진=연합뉴스 제공

당시 해킹 공격으로 모아저축은행의 대출 홈페이지인 ‘모아론’을 이용한 고객 7146명의 이름, 주민등록번호, 휴대전화 번호 등 민감한 개인신용정보가 외부로 유출됐다. 조사 결과, 은행 측은 공개용 웹 서버에 개인신용정보가 노출되도록 방치했으며, 특히 암호화 키 관리와 비밀번호 보안 운영 등 기초적인 보안 수칙조차 제대로 지키지 않은 것으로 드러났다.

◇ 2년 넘게 방치된 보안 구멍..."예고된 인재"

 

더욱 충격적인 사실은 해당 보안 취약점이 무려 2년 넘게 방치돼 왔다는 점이다. 금감원 조사에 따르면 모아저축은행은 외부 해킹 공격에 취약한 구조를 인지하거나 수정하지 않은 채 운영을 지속해 왔다. 사실상 보안에 "손을 놓고 있었다"는 비판이 나오는 이유다. 

 

모아저축은행은 일부 정보보호시스템과 관련해 최대 8년8개월 동안 보안정책 이력을 기록하지 않았다. 해킹이 탐지될 경우 담당자에게 알람 메시지로 즉시 통보해 신속히 조치할 수 있는 대응체계도 없었으며 해킹공격이 즉시 차단되지 않고 모니터링(탐지)만 되도록 방화벽을 미흡하게 설정했다. 

 

금융회사와의 전문 송·수신에 사용하는 암호키 관리도 운용 방법을 마련하지 않고 미흡하게 관리해 해커에 의해 암호키가 유출됐다. 

금감원은 이번 제재와 더불어 경영유의 1건과 개선사항 4건도 함께 통보했다. IT 감사 운영 부실과 정보보호 인력 및 예산 편성의 미흡함이 주요 개선 대상으로 지목됐다.

금감원 관계자는 IT감사 운영 부실과 관련해 "실질적인 IT감사 및 IT자체감사 활동이 이루어질 수 있도록 감사 대상, 범위,주기 및 절차 등 세부사항을 내규에 반영하고 내규에 따라 IT감사를 실시하여야 한다""고 지적했다.

모아저축은행 측은 이번 제재를 겸허히 수용하고 보안 시스템 고도화 및 재발 방지 대책 마련에 총력을 기울이겠다는 입장이다. 하지만 이미 유출된 개인정보로 인한 2차 피해 우려와 실추된 브랜드 이미지를 회복하기까지는 상당한 시간이 걸릴 것이라는 분석이 나온다.

 

[ⓒ 사회가치 공유 언론-소셜밸류. 무단전재-재배포 금지]