지난달 발생한 보험 법인대리점(GA) 전산 해킹이 해외가 아닌 국내에서 시작된 정황이 나왔다. 금융당국과 금융보안원은 해킹이 실제 개인정보 유출로 이어졌는지를 확인하고 있다. 금보원은 이달 중순쯤 디지털 포렌식을 마무리하고 최종 보고서를 각사에 전달할 계획이다.
7일 금융권에 따르면 금보원은 연휴 전까지 해외 인터넷주소(IP) 추적을 마쳤다. 추적 결과 최초 해킹은 가상사설망(VPN)을 통해 해외로 우회한 국내 IP로 진행된 것으로 추정된다. 한 관계자는 “해외 IP 추적을 마무리하고 국내 IP 추적을 진행 중”이라고 전했다.
금보원이 지난달 26일부터 진행한 초동조사 결과에 따르면 최초 해킹은 IT기업 지넥슨의 직원 컴퓨터에 저장돼 있던 GA 통합관리시스템 계정 정보가 유출되며 시작됐다. 유출된 계정 정보는 다크웹에 공유됐다. 일부 해커가 이 정보로 GA 하나금융파인드와 유퍼스트보험대리점 2곳 계정에 접속하며 2차 해킹으로 이어졌다.
금보원은 현재 해커가 해당 계정에 접속해 개인정보를 조회하거나 캡쳐했는지 여부를 확인하고 있다. 시스템에서는 보험 가입자의 이름과 주민번호, 전화번호 등 정보를 확인할 수 있다. 기본적으로 이름을 ‘홍*동’으로 일부 가려 표기하지만, 일일이 항목을 눌러 화면을 띄우면 전체 정보를 보는 것이 가능하다.
지넥슨 관계자는 “해커의 접속 시간이 몇 분 되지 않아 (개인정보 원본을 저장하거나 반출했을) 가능성은 낮다”고 주장했다.
금보원은 개인정보 유출 여부를 확인하기 위한 디지털 포렌식을 이달 중순쯤 끝낼 예정이다. 포렌식으로는 해커가 고의적으로 피해자를 특정할 수 있는 개인정보를 무단 수집, 저장, 반출했는지 여부를 확인한다.
금보원은 해커가 개인정보를 파일 형태로 내려받은 흔적을 찾지 못했으나 화면 캡처나 일시적인 열람을 통한 유출 가능성을 열어두고 조사 중이다. 디지털 포렌식이 끝나는 대로 유출 사실 여부와 정보 형태를 최종 파악해 최종 보고서를 완성할 예정이다.
지넥슨은 “연휴 기간 중 2차 인증을 의무화하는 등 보안 절차를 강화했다”며 “똑같은 해킹이 발생하더라도 현재는 보안상 내부 프로그램에 들어올 가능성은 전혀 없다”고 밝혔다.
