금감원, 정태영 현대캐피탈 사장 징계 검토

‘고객정보 해킹사건’ 검사결과
“일부 비밀번호 암호화 안해”

고객정보 해킹 사건과 관련해 금융감독원이 현대캐피탈과 임직원을 징계하기로 했다. 정태영 현대캐피탈 사장의 징계도 검토 대상인 것으로 알려졌다.

금감원은 17일 이 회사에 대한 검사 결과, 임직원이 전자금융거래법 등 관련 법규에서 정한 전자금융사고 예방대책을 소홀히 한 탓에 고객정보가 대량 유출된 것으로 드러났다고 밝혔다. 이와 관련해 금감원 관계자는 “정 사장에 대한 징계 여부도 고민하고 있다”고 말했다. 금감원 검사 결과를 보면, 지난 4월8일 발생한 현대캐피탈 해킹사건은 일부 고객 비밀번호를 암호화하지 않은 것이 원인이 된 것으로 나타났다. 현대캐피탈은 메인서버에 보관중인 고객 비밀번호는 암호화하고 있으나, 고객정보 조회·생성·변경사실 등이 기록된 로그파일에 남아 있는 비밀번호는 암호화하지 않은 것으로 드러났다.

현대캐피탈은 해킹침입방지 및 차단시스템 관리도 철저하지 못한 것으로 드러났다. 현대캐피탈은 2월15일~4월6일 해킹사고와 동일한 아이피(IP)를 해킹침입방지 시스템을 통해 확인했지만 해당 아이피 접속 차단 등 예방조처를 하지 않았다. 또 해킹파일로 의심되는 확장자(jsp)에 대한 필터링 기능이 미비했고 파일업로드 실행권한 제거 등의 대응조처도 하지 않았다.

다만 금감원은 검사종료일 현재(4.29)까지 해킹 정보 중 인터넷에 노출된 정보는 없으며, 고객의 금전피해 신고사례도 없었다고 밝혔다. 또 해킹된 모든 프라임론패스(대출카드)를 사용정지하고 새로운 카드(패스번호 및 비밀번호 변경)를 재발급해 앞으로 금전적인 피해 가능성은 낮을 것이라고 전망했다.

하지만 금감원은 해킹된 고객정보의 매매, 인터넷 유포 등에 의한 2차 피해 가능성은 배제할 수 없다고 덧붙였다. 실제로 이 사건을 수사중인 서울지방경찰청 사이버범죄수사대는 최근 현대캐피탈 서버를 해킹한 일당이 국내 대출중개업체 직원에게 고객정보를 팔아넘긴 사실을 확인했다.

금감원 관계자는 “금융 정보기술(IT) 보안을 강화하고 사고가 재발하는 것을 방지하는 대책을 금융위원회와 함께 마련해 다음달 발표할 계획”이라고 말했다.

정세라 기자 seraj@hani.co.kr