2011. 4. 8 제2금융권의 1위 업체인 현대캐피탈(http://www.hyundaicapital.com)에서 42만명의 고객 개인정보와(이름, 주민등록번호, 전화번호 등) 1만3천여 건의 신용정보(프라임론 패스번호 및 비밀번호)가 해킹에 의해 유출되는 사고가 발생하였습니다.
4.7 해킹범이 해킹한 사실을 알리고 협박하기 전까지 현대캐피탈은 해킹된 사실도 모르고 있었다고 합니다. 거의 두 달 동안 해킹이 이루어졌는데도 말입니다.
현재까지 진행된 사건 일지를 정리해 보면 다음과 같습니다.
O 2011. 2 – 해킹범 현대캐피탈 해킹하여 고객정보 및 신용정보 빼냄, 2개월 동안 조금씩 정보 빼내감, 현대캐피탈은 인지하지 못함
O 2011. 4. 7 – 해킹범 현대캐피탈에 협박 이메일 발송, 현대캐피탈 해킹 인지
O 2011. 4. 8 – 현대캐피탈 해킹 사고 언론 뉴스 보도
O 2011. 4. 10 – 42만명 고객정보 외에 1만3천여명의 프라임론 비밀번호 및 신용정보(신용등급)도 유출된 것으로 확인
O 2011. 4. 10 – 현대캐피탈 보안강화 조치
- DB는 암호화 되어 있었음, ‘로그’정보에 문제
- 로그 정보 삭제, 로그 정보 모니터링 강화, 프라임론 패스의 ARS 대출 중단
- 공격받은 곳은 홈페이지가 아니라 제휴사와 연결된 전용선
O 2011. 4. 11 – 금융감독원 현대캐피탈 특별 감사 착수
O 2011. 4. 11 – 이명박 대통령 ‘개인정보보호 관리 감독’ 강화 지시
O 2011. 4. 11 – 현대캐피탈은 DB 암호화 하였다고 하나, 언론사의 취재에 의하면 2009년 DB 암호화 작업을 하다 비용, 시스템 교체, 성능 저하 등의 이유로 중단되었다고 보도
현재까지 밝혀진 해킹 사고 원인으로는 로그정보에 문제가 있었던 것으로 보이고, 현대캐피탈 홈페이지 보다는 제휴사와 연결된 전용선에서 유출된 것으로 보도되고 있습니다.
또한 현대캐피탈 즉에서는 DB를 암호화 하고 있다고 밝히고 있지만, 언론 취재 보도에 의하면 2009년 DB암호화 작업을 시도 하였으나, 투자 비용, 솔루션 교체의 어려움, 성능 저하 등의 이유로 중단된 것으로 보고 있습니다.
또한 보안 전문가의 말에 의하면 전면적으로 DB암호화 한 곳은 국내 금융권 중에 1~2곳 밖에 없다며, 전체적으로 암호화를 하지 않았을 것이라고 합니다. 또한 암호화 솔루션을 도입한 이후에도 지속적으로 적용되도록 관리하여야 하는데, 성능 저하 등의 여러 문제로 인하여 도입한 솔루션을 사용하지 않거나 모니터링을 하지 않으면 해킹에 결국 무방비로 있는 것과 마찬가지라고 합니다.
현대캐피탈 즉의 보안관리가 어떻게 이루어졌는지는 금융감독원의 특별감사를 받아받야만 자세히 그 결과를 알겠지만 혹시나 보안관리에 소홀하지 않았던 것은 아닌가 의심됩니다.
[현대캐피탈 홈페이지 해킹 사고 사과문]
현대캐피탈 사고로 인해 현대캐피탈 개인정보취급방침 등을 한번 살펴보았습니다.
우선, 개인정보취급방침, 개인정보 수집동의 절차, 보안서버 구축 여부를 살펴본 바, 기본적으로 정보통신망법 규정은 잘 준수하고 있었습니다.
다만, 개인정보취급방침 내용 중 '개인정보 제3자 제공'과 '개인정보 취급위탁'에서 추후 위와 같은 사고의 위험을 내포하고 있어 이부분에 대한 관리도 철저해야 될 것으로 보였습니다.
1. 개인정보 제3자 제공 현황
- 개인정보취급방침에 서비스 제공 등의 목적으로 개인정보를 제공할 수 있음을 고지하고 있으며, 55개 이상의 업체에 개인정보를 제공할 수 있도록 되어 있습니다. 물로 개별 서비스 신청자에 한해 해당 서비스 제공을 위해서는 개인정보 제공이 불가피한 경우이겠습니다만, 상당히 많은 업체에게 개인정보가 제공될 가능성이 있습니다.
[현대캐피탈 개인정보 제3자 제공 현황]
- 개인정보 위탁의 경우 총 906개 업체에 개인정보를 위탁하고 있는 것으로 안내하고 있습니다.
개인정보 위탁의 경우에는 제3자 제공과는 달리 특별한 동의없이도 고지만 하면 개인정보 처리를 타 업체에 위탁할 수 있도록 되어 있습니다.
위탁 업무 내용을 보면 금융관련 법률에 따라 필수적으로 위탁처리해야할 경우도 있으나, 상당히 많은 업무 부분에 있어 위탁을 하고 있는 것으로 보입니다.
특히, 중고차 대출및알선 업무를 위해 149개업체의 자동차판매 업체에 대출을 위한 개인정보 수집 업무를 위탁하고 있으며, 리스차량 정비를 위하여 645개 차량정비 업체에 개인정보 처리를 위탁하고 있고, 채권추심을 위한 송무 업무를 위해 55개 법무사에게도 위탁하고 있습니다.
위와 같이 개인정보 제3자 제공과 위탁업무가 많으면, 현대캐피탈 고객정보가 현대캐피탈에서만 보관, 관리되는 것이 아니라 수많은 관련 업체들에게도 공유된다고 볼 수 있으며, 오늘과 같은 해킹사고가 현대캐피탈이 아닌 현대캐피탈과 제휴된 업체를 통해서도 사고가 발생할 가능성이 매우 높음을 의미합니다.
정보통신망법 제25조제4항에서는 개인정보를 위탁하는 경우에는 수탁자가 개인정보보호 법률의 규정을 위반하지 않도록 관리감독하여야 한다고 규정하고 있습니다.
과연, 현패캐피탈이 900개가 넘는 많은 위탁업체에 대해 개인정보보호 관리감독을 제대로 하고 있을까요?
'개인정보 침해사고 분석' 카테고리의 다른 글
고법 "GS칼텍스 개인정보 유출 배상책임 없다" (0) | 2011.06.28 |
---|---|
개인정보침해 사고 시 경제적 피해 규모 (0) | 2011.05.12 |
개인정보침해로 인한 기업의 피해 (0) | 2011.05.11 |
현대캐피탈 개인정보 사고 관련 뉴스 스크랩 (0) | 2011.05.06 |
현대캐피탈 해킹 진원지 - 리스차량 정비 서비스 (1) | 2011.04.15 |