[금융권 해킹 비상] IT 감독기준 대폭 강화했다더니… 금감원 방패 뚫렸다
![[금융권 해킹 비상] IT 감독기준 대폭 강화했다더니… 금감원 방패 뚫렸다](https://image.kmib.co.kr/online_image/2011/0410/1104110_03_1.jpg)
2년전 저축銀 해킹 이어 또… 금융감독당국 곤혹
기습 공격에 속수무책으로 당했다. 해커들은 목요일인 지난 7일 처음으로 해킹 사실을 알린 뒤 금요일과 주말에 추가 요구사항을 전달해 왔다. 경찰은 조기 검거를 목표로 해킹 신고 이튿날인 8일 해킹범들의 주거지로 추정되는 곳을 기습했지만 정보 부족으로 ‘허탕’을 쳤다.
서울지방경찰청 사이버범죄수사대 관계자는 10일 “현대캐피탈의 해킹 과정은 과거 수사했던 한 주요 해킹 사건과 비슷한 수법”이라며 “동일범의 소행일 가능성을 염두에 두고 있다”고 밝혔다. 42만명의 개인정보와 1만3000명의 대출카드번호·비밀번호까지 유출됨에 따라 다른 금융기관에서 추가 피해도 우려된다.
◇해커와의 두뇌싸움…급박했던 4일=해커에게서 처음 연락이 온 것은 7일 오전. 해커는 외국계 이메일을 통해 현대캐피탈 직원 4~5명에게 해킹 사실을 알렸다. 그리고 불과 몇 시간 후 수억원의 돈을 요구하는 이메일을 다시 보냈다.
현대캐피탈은 해킹 사실을 확인한 뒤 해커와 거래하는 대신 서울지방경찰청 사이버범죄수사대에 신고했다. 돈이 입금되지 않자 해커는 오후 3시쯤 “돈을 보내지 않았으니 오후 7시에 인터넷에 정보를 공개하겠다”고 협박했다.
이튿날인 8일 노르웨이 출장 중이던 정태영 현대캐피탈·카드 사장은 “현장에서 판단해 즉각 언론과 고객에게 해킹 사실을 알리라”고 지시했다. 이어 이날 오후 5시쯤 경찰의 검거 작전이 무위로 끝난 뒤 현대캐피탈은 경찰과 연계해 해커가 알려온 국내 금융계좌로 일정 금액을 송금했다. 자금 흐름을 추적해 해커의 위치와 정보를 파악하기 위해서였다.
해커들은 오후 6시30분쯤 다시 협박 이메일을 보냈지만 현대캐피탈은 오후 7시쯤 이 사실을 언론에 알렸다.
◇구멍뚫린 ‘금융 방패’=이번 해킹으로 900여만명의 현대카드 고객 정보는 유출되지 않았지만 현대자동차 구매 시 현대캐피탈의 할부 프로그램을 이용한 경우에는 해킹 가능성도 있는 것으로 알려졌다. 정태영 사장은 현대카드 고객으로의 피해확산 여부에 대해 “현재는 ‘확실하다’고 답할 수 있는 게 아무것도 없다”고 말했다.
현대캐피탈의 유출 정보가 다른 금융회사 피해로 이어질 수 있다는 우려도 제기되고 있다. 금융 거래 비밀번호 등은 대부분 같은 번호를 쓰다 보니 인터넷에 떠도는 정보와 결합될 경우 불법 대출 등 추가 범죄가 이뤄질 수 있기 때문이다.
또 2008년 저축은행 7곳을 대상으로 한 대규모 해킹이 발생한데 이어 이번에 또다시 캐피털업계 1위를 대상으로 같은 범죄가 발생한 만큼 금융권 전반에 대한 대응태세 점검이 필요해 보인다.
금융감독원은 2009년 말 인터넷은 물론 모바일·TV뱅킹 등 금융기관에 대한 종합적인 IT 감독 기준을 강화했지만 이번 사건으로 곤혹스러운 처지에 놓이게 됐다. 금융기관의 정보 보안 규정은 사실상 금감원의 IT 감독 기준 외에는 뚜렷한 규정이 없다.
현대캐피탈이 금감원의 요구사항을 제대로 이행하지 못했을 것이라는 분석도 나오고 있다. 금감원 관계자는 “일단 현대캐피탈에 특별검사반을 보내 감독 기준 이행 여부 및 해킹 사태의 전말을 파악한 뒤 대응 방안을 마련할 예정”이라고 말했다.
강준구 기자 eyes@kmib.co.kr
GoodNews paper Ϻ(www.kmib.co.kr), , , AIн ̿
Ŭ! ̳?
Ϻ IJ о
õ
