모아저축은행(김상고 회장)이  2023년 9월 10일 해킹공격을 받아 고객 7146명의 정보가 유출됐다. 이에 금감원이 기관주의와 함께 과징금 12억4300만 원, 과태료 1억6400만 원을 부과했다.

금융감독원이 1월 26일 해킹공격으로 고객 수천 명의 정보를 유출하고 보안 관리 체계 전반에서 허점을 드러낸 모아저축은행에 기관주의와 함께 과징금 12억4300만 원, 과태료 1억6400만 원을 부과하고 퇴직자 포함 임직원 5명에게 견책 및 주의 상당 조치를 내렸다.

이번 조치는 모아저축은행이 신용정보전산시스템 안전보호 의무와 전자금융거래 안전성 확보 의무를 무더기로 위반한 사실이 수시검사 결과 드러난 데 따른 것이다. 

2년 넘게 구멍난 채 방치된 홈페이지

사건의 발단은 모아저축은행의 안일한 웹서버 운영에서 비롯됐다. 은행은 2021년 1월 28일 공개용 웹서버에 개인신용정보를 조회할 수 있는 프로그램을 설치하면서 적절한 통제 장치를 마련하지 않았다. 

이처럼 데이터베이스 접근·조회용 개발용 프로그램이 외부에 노출되면서 적절한 통제수단 없이 누구나 개인신용정보에 접근할 수 있었다. 

신용정보관리·보호인 역시 홈페이지 등 대량의 정보 유출 위험이 큰 웹서버에 대해 정기적인 조사나 개선 조치를 하지 않았다. 

2021년 9월 ~ 2023년 9월 홈페이지는 무방비 상태였고, 결국 2023년 9월 10일부터 이틀간 해킹공격을 받아 7146명의 정보가 유출됐다. 여기에는 이름 등 개인정보 737명분뿐 아니라 민감한 개인신용정보 6409명분이 포함됐다. 

해킹 당해도 알람 안 울려…암호키·비밀번호도 평문 보관

해킹사고 당시 대응 체계도 총체적 난국이었다. 모아저축은행은 정보보호시스템을 운영하면서 보안정책의 등록·변경 이력을 최장 8년 8개월간 기록하지 않았고, 해킹 피해가 탐지될 때 담당자에게 즉시 알람을 보내는 대응 체계도 갖추지 않았다. 

이 때문에 해커가 고객 정보를 탈취하는 동안에도 은행은 이를 즉시 인지하지 못해 피해를 키웠다. 해킹 방지를 위해 운용하던 방화벽은 실시간 차단이 아닌 단순 모니터링(탐지) 위주로 설정돼 공격을 막아내는 데 역부족이었다. 

기본적인 보안 수칙 위반 사례는 본문 곳곳에서 확인됐다. 은행은 타 금융회사와 정보를 주고받을 때 사용하는 암호키에 대한 관리 절차를 마련하지 않아 해커에게 암호키가 유출되는 빌미를 제공했다. 

심지어 내부 사용자 비밀번호 9개를 암호화하지 않고 파일이나 프로그램에 '평문'(平文, Plaintext) 그대로 보관해오다 해커에게 유출된 사실도 확인됐다. 

모아저축은행

부실한 IT 내부통제…경영유의 및 개선 요구 쏟아져

금감원은 제재와 더불어 모아저축은행의 IT 내부통제 체계 전반에 대해서는 경영유의 1건과 개선사항 4건을 통보했다. 

은행은 IT 감사 지침을 내규화하지 않은 채 임의로 감사를 실시하거나, IT 부서 내에서 자체 감사를 수행한 실적이 아예 없는 등 내부 감시 기능이 부실했다. 

특히 IT 자체감사자가 정보보호시스템 운영 업무를 겸직하며 피검사자인 정보보호실장에게 인사고과를 받는 등 감사의 독립성과 객관성이 결여된 구조였다. 

또한 IT 부서의 업무 범위와 전결 기준이 명확하지 않아 사고 발생 시 책임 소재가 불분명해질 우려가 컸으며, 비상대책 관련 내규는 2017년 이후 한 번도 업데이트되지 않은 것으로 나타났다. 

홈페이지 취약점 분석도 일부 서비스에만 한정돼 대다수 시스템이 점검 사각지대에 놓여 있었다. 모아저축은행은 이번 해킹사고를 계기로 뚫린 보안망을 복구하고, 금감원이 지적한 IT 감사 독립성 확보와 성능 관리 체계 고도화 등 근본적인 내부통제 쇄신에 나서야 할 것으로 보인다.