한심한 현대캐피탈, 고객정보 다 털렸다

현대캐피탈이 CF대로 '금융을 바꿀 '것으로 보인다. 무사안일한 보안대책으로 거의 대부분의 고객정보가 해커에게 털리고 이것이 대부중계업체 관계자에게 넘어간 사실이 밝혀졌기 때문이다.

현대캐피탈 해킹 피해가 당초 알려진 고객의 이름, 이메일 42만 건만 유출된 게 아니라 175만 건의 주민번호 등 주요 개인정보가 모두 ‘털린’ 것으로 드러났다. 이 정보는 ‘대부중계업체’가 구입해 대출권유 스팸 문자와 무작위 전화 마케팅에 사용된 것으로 보인다.

현대캐피탈 해킹사태를 조사 중인 금융감독원은 17일 중간발표를 갖고 “해커 신 씨가 퇴직한 관리자의 아이디와 패스워드를 알아낸 후 현대캐피탈 고객들의 자동차정비내역조회 서버 등에 침입해 175만 명의 고객 정보를 해킹했다”고 밝혔다.

게다가 이번에 해킹당한 광고메일 발송용 서버에서 유출된 정보는 42만 명의 이름과 e메일 정보 뿐만 아니라 주민번호가 암호화되지 않고 그대로 드러나 해커들이 화면 캡처 방식을 통해 빼낸 것으로 드러났다.

서울지방경찰청 역시 금감원의 조사 결과가 사실임을 뒷받침했다. 경찰은 “신 씨 일당에게 돈을 주고 현대캐피탈 고객 정보를 빼낸 대부중계업체 팀장 윤 모 씨(35)의 외장 하드디스크를 조사한 결과 유출된 고객 정보가 지금까지 확인된 것만 100만 건이 훨씬 넘는다”고 밝혔다.

서울경찰청 사이버범죄수사대는 지난 3월 11일 서울 서초구의 한 PC방에서 현대캐피탈 서버에 무단 침입해 개인 정보를 다운로드 받은 윤 씨를 체포한 뒤 구속 수사해 왔다. 서울 광진구의 대부중개업체 팀장인 윤 씨는 3월 필리핀에 있는 해커 신 씨의 공범 정 모 씨(36)로부터 “내가 아는 해커가 현대캐피탈 서버에 침입했는데 돈을 주면 내부망에 접속하는 주소(URL)를 알려주겠다”는 제안을 받고 2,200만 원을 송금한 뒤 현대캐피탈 고객 정보를 빼냈다.

윤 씨는 이렇게 얻은 현대캐피탈 고객정보를 1TB(테라바이트·700페이지 책 100만 권 분량) 외장 하드디스크에 저장했다. 경찰은 “개인정보는 텍스트 형식인 로그파일로 저장되어 있으며 지금까지 모두 현대캐피탈 관련 정보로 분석됐다”고 말했다.

현대캐피탈의 보안대책은 허술함의 극치였던 것으로 드러났다. 금감원에 따르면 현대캐피탈은 고객 정보에 접근할 수 있는 퇴직 직원의 아이디를 삭제하지 않았고, 올 2∼4월에 같은 IP를 통한 해킹 시도가 다수 발견됐어도 IP 차단 조치를 취하지 않았던 것으로 드러났다.

현대캐피탈 회원은 약 180만 명이다. 사고 당시 유출된 고객 정보가 42만 건이라고 발표했던 현대캐피탈 측은 그러나 16일에도 정확한 유출 규모를 확인 중이라고 밝히고 있다.

금감원은 고객정보 해킹과 관련해 현대캐피탈과 정태영 사장 등 임직원을 징계하는 방안을 고려 중이다. 금감원 관계자는 “이번 사건이 국민을 불안하게 하고 사회 문제로 비화한 점을 고려해 법인과 임직원에 대한 징계를 제재심의위원회에 상정할 방침”이라고 말했다.