지난 4월 8일 발생한 현대캐피탈 고객정보 유출 사고에 대한 중간결과가 발표됐다. 조사를 진행한 금융감독원에 따르면, 현대캐피탈의 보안사고는 2011년 3월 6일에서 4월 7일 사이에 업무관리자의 ID와 비밀번호 등 계정정보를 습득, 보조서버인 광고메일발송서버와 정비내역조회서버에 침입, 화면복사 또는 해킹프로그램 설치/다운로드함으로써 고객정보를 유출한 것으로 드러났다.
유출규모는 약 175만명으로 당초 추정됐던 40만명을 훨씬 상회한 것으로 조사됐다. 현재 현대캐피탈 고객인 67만명과 홈페이지 가입자 및 직원 등을 포함한 27만명뿐 아니라 과거 고객이었던 81만명의 정보까지 포함돼 유출규모가 추정치를 훨씬 상회했다.
유출 방법은 관리자의 ID, 계정정보가 원인이었으며, 이를 활용해 공격자는 보조서버에 침투, 로그파일을 빼냄으로써 이뤄졌다. 일각에서는 제기했던 DB암호화 미비에 의한 것은 아니었다. DB는 암호화됐지만, 고객정보 조회·생성·변경 등이 기록되는 로그파일이 암호화되지 않았고, 이 로그파일이 유출됨으로써 대량의 고객정보 유출이 발생한 것이다.
금감원은 이번 해킹사고의 원인을 전자금융거래법 등 관련법규에서 정한 사고예방대책 이행을 소홀히 한데 기인한다고 보고, 현대캐피탈 임직원에게 책임을 물을 계획이다. 업무성격한 불필요한 ID/비밀번호 부여와 퇴직직원 계정정보 미삭제, 광고메일서버에 외부에서 접속가능한 5개 계정 부여, 퇴직직원이 재직시 사용하던 계정을 이용해 정비내역조회서버에 7회 무단 접속, 해킹침입방지/차단시스템 관리 불철저 등이다. 특히 해킹침입방지시스템이 2월 15부터 4월 6일 사이에 해킹사고와 동일한 IP에 의한 해킹시도를 다수 적출하였음에도 해킹패턴 분석 및 해당 IP 접속 차단 등 예방조치를 하지 않았다는 점은 의무소홀을 극명하게 보여주는 것이라고 풀이된다.
이와 관련해 아웃소싱업체와 ‘해킹시도정보 통보기준’을 명확히 정하지 않은 점도 사고원인중 하나로 꼽히며, 해킹프로그램 업로드 차단 등 대응조치도 미흡했으며, 해킹파일로 의심되는 확장자(jsp)에 대한 필터링 기능 미비 및 파일 업로드 실행권한 제거 등 대응조치도 이뤄지지 않았다.
한편 금감원은 유사사고 예방을 위해 사건발생 직후인 4월 22일부터 금융위, 금감원 및 금융결제원 등 5개사 민간전문가로 구성된 민관 합동 TF를 구성, 금융회사 보안실태를 점검하고 있다고 밝히면서 TF 합동점검반의 점검결과 및 금번 현대캐피탈과 농협의 검사결과를 토대로 금년 6월중 금융 IT보안 강화 및 사고 재발방지대책을 마련해 추진하겠다는 계획을 밝혔다.
