"문자 누르지 마세요, URL 조심해요"
감독·관리 책임 빠진 대국민 주의 당부
14개 관리자 계정이 한 PC에 저장된
개발자 루트 해킹은 사이버 안보 사고
GA·협회·IT업계가 얽히고 얽힌 구조

이복현 금융감독원장이 서울 종로구 생명보험교육문화센터에서 열린 보험회사 CEO 간담회에서 발언하고 있다. /연합뉴스
이복현 금융감독원장이 서울 종로구 생명보험교육문화센터에서 열린 보험회사 CEO 간담회에서 발언하고 있다. /연합뉴스

법인보험대리점(GA) 유퍼스트와 하나금융파인드에서 발생한 개인정보 유출 사고를 두고 금융당국이 내놓은 '보험소비자 주의 당부'가 도마에 올랐다. 문자 클릭 자제나 비밀번호 변경 권고 등 표면적 대응만 반복될 뿐 정작 보안 시스템의 구조적 취약점에 대한 언급은 빠져 본질을 회피하고 있다는 비판이 나온다.

21일 여성경제신문 취재를 종합하면 이번 GA 고객정보 유출 경로는 IT 보안 솔루션을 제공한 지넥슨 소속 개발자의 개인 PC 감염으로 시작됐다. 해당 PC에는 GA 14곳의 웹서버 관리자 계정(ID·비밀번호)이 저장돼 있었고 이 정보가 한꺼번에 탈취된 것으로 파악된다. 

여기에 더해 사고 직후 GA 측은 책임 소재를 위탁업체에 돌리는 태도를 보였다. 그러나 개인정보 처리 책임은 계약상 GA에 있으며 관리자 계정이 외주 개발자 PC에 저장돼 있었던 구조는 결과적으로 리스크 통제 체계 전반에 미비점이 있었음을 보여준다. 당사자 간 역할 분담과 관계 없이 해당 운영 방식은 보안 측면에서 문제 소지가 있다는 것이 전문가들의 견해다.

금감원이 보도자료를 통해 소비자에게 당부한 메시지는 "URL이 포함된 문자에 속지 말라", "앱 비밀번호를 바꾸라"는 것이다. 그러나 이는 유출된 정보가 어느 범위까지 확산됐는지 금융당국 스스로 명확히 인지하지 못하고 있음을 보여준다.

더욱이 이 같은 표면적 주의 당부를 담은 보도자료는 금감원 단독 명의가 아니었다. 생명보험협회, 손해보험협회, 금융보안원까지 참여한 공동 배포 형태로 실제 보도자료엔 금감원 보험검사국 3개 부서와 금융보안원 사이버대응본부, 생·손보협회 담당자들 이름과 직책, 연락처까지 명시돼 있다. 이번 사고에 대한 정부-협회-업계 간의 무책임 동맹 구조를 스스로 드러낸 대목이다.

금융감독원이 지난 20일 발표한 법인보험대리점(GA) 해킹 사고 관련 보도자료 담당부서와 참여 단체. /금융감독원

특히 금융회사 앱 비밀번호 변경까지 권고한 것은 단순한 계약정보가 아니라 로그인 인증에 활용될 수 있는 신용정보 일부가 포함됐을 가능성을 전제하지 않고는 설명되기 어렵다. 비밀번호 변경은 기술적으로 '접근권 탈취' 가능성을 차단하려는 조치이며 이는 유출 정보에 민감 정보가 포함돼 있었음을 시사하는 정황으로 해석된다.

특히 이번 GA 보안 체계엔 손해보험협회·생명보험협회가 계약 기반으로 간접 관여했을 가능성도 제기된다. 지넥슨 솔루션이 여러 GA에 납품된 과정에서 협회 차원의 보안 인증 체계가 생략됐거나 인증 없이 루트 권한까지 외부 개발자가 보유하는 구조가 유지됐다는 점에서 금융당국은 물론 유관 협단체 전체의 책임이 대두된다.

금감원은 유출 사실을 악용한 2차 스미싱 가능성에 대해 "유출 통지 시 문자에 URL을 포함하지 않겠다"고 밝혔다. 동시에 "금융당국 및 보험회사, GA가 유출 해소를 빌미로 금전이나 앱 설치를 요구하지 않으며, 이런 요구가 있으면 삭제하라"는 경고를 내놨다. 하지만 이 모든 당부는 사고 발생 이후에야 전달됐다. 한 보안 전문가는 "GA-솔루션사-협회 간 다층 위임 구조에서 가장 민감한 계정이 개인 개발자 PC에 저장됐다는 점은 보안 설계 자체의 실패"라며 "금감원의 소비자 공지만으로는 시스템 책임을 분산시킬 수 없다"고 말했다.

더욱 심각한 것은 당국이 사고 이후에도 해당 개발자의 ‘행위 로그’를 조사할 의지를 보이지 않았다는 점이다. 개발자가 어느 시점에 어떤 경로로 감염됐고 웹서버에 어떻게 접근했으며 그 과정에서 어떤 관리자 계정이 어디에 저장됐는지 추적하는 것이 기본 중 기본이다. 그러나 이번 발표 어디에도 로그 분석이나 포렌식 착수 계획은 명시되지 않았다.

게다가 이번 사고는 ‘비인가 인프라 접근’을 규제·점검할 책임 주체가 사실상 부재한 구조 속에서 발생했다는 점에서 치명적인 시스템 허점을 드러냈다. GA는 보험사와의 계약을 기반으로 운영되지만 보안 솔루션은 개별 GA가 자율적으로 선정한다. 그러나 다수 GA가 동일 업체(지넥슨)와 계약을 맺고 루트 권한이 외부 개발자 단말에 집중됐다. 이는 명백한 ‘공동 위험 집적 구조’이며, 이에 대한 상위 점검 권한은 생·손보협회 또는 금융감독당국이 수행했어야 한다는 비판이 제기된다.

개인정보보호법은 계약 여부와 관계없이 법인보험대리점(GA)이 책임 주체임을 명시하고 있으며 위탁업체의 행위도 GA의 법적 책임 아래에 둔다. '개발자 PC에서 벌어진 일이라 GA는 책임 없다”는 주장은 법리적으로 성립 불가하며 금감원과 협회가 이를 그대로 받아들였다면 그것이 곧 감독 실패의 증거다. /해설=이상헌 기자
개인정보보호법은 계약 여부와 관계없이 법인보험대리점(GA)이 책임 주체임을 명시하고 있으며 위탁업체의 행위도 GA의 법적 책임 아래에 둔다. '개발자 PC에서 벌어진 일이라 GA는 책임 없다”는 주장은 법리적으로 성립 불가하며 금감원과 협회가 이를 그대로 받아들였다면 그것이 곧 감독 실패의 증거다. /해설=이상헌 기자

즉 솔루션 제공업체는 위탁업체일 뿐이라는 주장은 디지털 보안 통제 권한이 어디에도 실재하지 않았다는 점을 은폐하는 논리일 뿐이다. 현재 금융당국의 관심은 실제 침입 경로를 추적하거나 해커를 잡는 데 있는 것이 아니라 피상적인 대국민 주의 알림과 책임 전가에 치우쳐 있다는 평가가 나오는 이유다. 국가정보 유관 기관 한 실무자는 "사고의 본질은 사이버 침투 경로를 밝히고 위협자를 추적하는 데 있는데 지금 한국의 금융권은 보여주기식 대응에만 집중하고 있다"며 "이런 식이면 다음 사고도 똑같은 형태로 반복될 수밖에 없을 것"이라고 지적했다.

여성경제신문 이상헌 기자 
liberty@seoulmedia.co.kr

관련기사

저작권자 © 여성경제신문 무단전재 및 재배포 금지