법인보험대리점(GA)에서 대규모 개인정보 유출 사고가 발생하면서 GA의 정보보안 관리에 허점이 드러났다는 지적이 제기되고 있다.

금융감독원은 20일 하나금융파인드와 유퍼스트 등 GA 2곳에서 고객과 임직원 등 1100여 명의 개인정보가 해킹으로 유출된 사실을 공식 확인했다.

금감원에 따르면 국정원이 지난 4월 다크웹에서 신원 미상의 해커가 GA의 개인정보를 탈취·공개하려는 정황을 확인하면서 2개 GA의 해킹 정황이 최초로 인지됐다.

이번 사고의 발단은 보험영업지원 IT업체인 지넥슨 소속 개발자가 해외 이미지 공유사이트를 이용하다 악성코드에 감염된 데서 시작됐다. 해당 개발자의 PC에는 브라우저 자동저장 기능을 통해 GA 14개사의 웹서버 접근 URL, 관리자 ID, 비밀번호가 저장돼 있었고, 이 정보가 해커에게 넘어갔다.

이로 인해 실제 개인정보 유출이 확인된 곳은 유퍼스트(고객 349명, 임직원·설계사 559명 등 총 908명), 하나금융파인드(고객 199명) 등 2곳이다. 특히 유퍼스트에서는 일부 고객의 보험계약 종류, 증권번호, 보험료 등 신용정보까지 포함된 것으로 파악됐다.

생명·손해보험협회가 보험사 위탁 GA 12곳을 점검한 결과, 1개사에서 소규모 개인정보 유출 정황이 추가로 확인됐다. 금감원은 금융보안원을 통한 추가 실태 점검에 착수했으며, GA 업계 전반에 대한 보안 취약성 우려가 커지고 있다.

GA는 보험사와 달리 정보보호 인력과 시스템이 상대적으로 취약한 경우가 많아 해킹 등 사이버 공격에 노출될 위험이 높다는 지적이 꾸준히 제기돼 왔다. 이번 사고 역시 IT업체 개발자 PC의 단순 해킹에서 시작된 점, 브라우저 자동저장 등 기본적인 보안관리 미흡이 원인으로 꼽힌다.

금감원은 유출 사실이 확인된 고객에게 법령에 따라 신속히 개별 통지하도록 조치했으며, 보험사에는 2차 피해 예방을 위한 추가 점검과 대응을 요청했다. 아울러 정보 유출 GA와 보험사 내에 피해상담센터를 설치해 피해 접수와 상담을 지원할 예정이다.

또한 유출 GA에 대한 현장검사를 실시하고, 필요시 추가 제재 등 후속 조치도 검토 중이다. 국정원, 개인정보보호위원회 등 유관기관과의 공조도 강화한다는 방침이다.

업계에서는 보험사로부터 위탁을 받아 영업을 수행하는 GA가 정보보호 사각지대에 놓여 있다는 점을 지적한다. 보험사에 비해 보안 인력과 시스템 투자가 부족한 GA가 늘어나면서 해킹·유출 사고의 잠재적 위험이 커지고 있다는 것이다.

전문가들은 “GA가 보유한 개인정보 규모와 중요성에 비해 보안 체계가 미흡하다”라며 “보험사와 당국의 관리·감독 강화와 함께, GA 자체의 보안 역량 강화가 시급하다”라고 강조했다.

금감원 관계자는 “GA 등 금융권 전반의 정보보호 실태를 점검하고, 빈틈없는 대응책을 마련하겠다”라고 밝혔다.