고객정보 털리고도 1년 넘게 ‘쉬쉬’… 어이없는 한화손보

16만건에 달하는 고객 개인정보를 통째로 털린 한화손해보험의 보안 대책과 사후 대응이 형편없었던 것으로 드러났다. 한화손보는 고객정보가 유출됐을 가능성을 알고도 금융당국에는 1년 넘게 늑장보고를 한 데다 사고 경위를 모른다며 책임을 피하려 했다. 하지만 당국의 처벌은 솜방망이 수준에 그쳤다.

19일 금융감독원 제재 내용 공시에 따르면 한화손보는 2010년 1월부터 2011년 5월까지 전자금융거래법 등에 명시된 보안 규정을 깡그리 무시했다. 내부 전산시스템이 해킹을 당하지 않았는지, 보안 체계에 취약점은 없는지, 외부에서 접근할 수 있는 공개용 전산망에는 결함이 없는지 등을 제대로 점검하지 않았다.

그 결과 방대한 고객 정보가 담긴 전산망이 수개월간 해킹범의 장난에 놀아났다. 지난해 9월 검찰이 구속 기소한 무직자 김모(36)씨가 인터넷 검색사이트 ‘구글’에서 한화손보의 관리자용 웹페이지 주소를 발견한 건 2011년 3월이다. 김씨는 2개월간 이 회사의 피보험자 이름과 휴대전화 번호, 차량 번호, 차량 운전자 이름·연락처 등 개인정보 15만7901건(고객 수 11만9322명)을 빼냈다. 해당 웹페이지가 인증절차 없이 접속할 수 있는 주소였기 때문에 가능했다. 김씨는 “장난삼아 했다”고 진술했다.

그해 5월 13일 한화손보는 한 고객으로부터 “내 교통사고 접수 기록이 인터넷에서 검색된다”는 민원을 받았지만 이를 금융당국에 보고하지 않았다. 한화손보는 단순 민원으로 생각했다고 해명했다.

이 회사는 지난해 9월 11일 수사기관에서 고객정보 유출 사실을 통보받은 뒤에야 금감원에 사고 보고서를 제출하면서도 유출 경위를 ‘불상’(잘 모름)으로 보고했다. 해당 사실을 1년4개월 전 파악하고 있었던 점 등을 감춰 자신들에 대한 책임론 제기를 피하려 했다는 지적이다.

또 한화손보는 1년 이상 보존해야 하는 정보처리시스템 가동 기록을 6개월만 보관했다. 이용자정보 조회 기록 등이 자동으로 저장·기록돼야 하는데 이마저도 관리하지 않았다. 결국 추가적인 정보유출 사고 여부나 경위를 확인할 수 없게 됐다.

금융당국은 보험업계에서 일어난 최대 규모 정보 유출 사건을 경징계로만 마무리 지었다. 최근 금감원 제재심의위원회는 한화손보에 기관 주의를, 박석희 한화손보 사장에게는 주의적 경고를 결정했다. 정보 담당 임직원 3명만 감봉이나 견책 조치를 받도록 했다. 주의적 경고는 금융회사 임원에게 내리는 징계 중 가장 낮은 수준이다.

한화손보는 이날 밤 긴급 사과문을 내고 “사고 발생 당시 고객들에게 즉시 안내하지 못한 것은 일부러 은폐하려 했다기보다 미흡한 업무처리에서 비롯된 일이었다”며 “사건 관련자들을 엄중 문책하고 같은 사고가 재발하지 않도록 고객정보 보호에 만전을 기하겠다”고 약속했다. 이 회사는 고객정보 유출에 따른 피해 현황을 파악해 구제 방안 등을 검토할 계획이다.

강창욱 기자 kcw@kmib.co.kr