현대캐피탈 고객정보 해킹 피해 과정에서 현대캐피탈 보안시스템이 제대로 작동하지 않았던 것으로 드러났다.
황유노 현대캐피탈 고객정보대책위원장 부사장은 10일 여의도 본사에서 열린 기자회견에서 "사태 파악 결과 이미 지난 2월부터 고객정보 유출이 있었던 것으로 조사됐다"며 "7일 오전 해커가 e메일을 통해 해킹 사실을 알려오기 전까지는 인지하지 못했다"고 말했다.
해커가 2달 가까이 마음 놓고 금융회사 고객의 신용정보를 빼가는 동안 회사 측은 그 사실조차 알지 못했다는 얘기다. 그나마 해커가 스스로 해킹사실을 알려오자 부랴부랴 사태파악에 나서 고객정보 유출 사실을 알게 된 것이다. 만약 해커가 해킹 사실을 현대캐피탈에 알리지 않고 정보를 거래했다면 수십만명에 이르는 고객의 비밀번호를 비롯한 신용정보가 시중에 유통될 수도 있었던 것이다.
게다가 8일 현대캐피탈이 공개한 해킹피해 사실도 이날 밝힌 사실과 크게 달라 '축소ㆍ은폐 의혹'도 제기되고 있다.
현대캐피탈은 사건 공개 당시 보도자료에서 "해커가 유출한 고객정보 중에는 금융거래를 가능하게 하는 정보가 없다"며 "금융거래는 안전할 것으로 판단하고 있다"고 설명했다. 하지만 불과 이틀 만에 계좌 비밀번호 등 공개돼서는 안 될 주요 정보도 해킹됐을 가능성이 있다고 입장을 바꿨다.
회사 측은 이날 "7일 해커 IP 2개를 발견했지만 최근 추가로 몇 개가 더 있다는 사실을 확인했다"며 "동일인의 IP인 것은 확인했지만 어느 수준까지 접근해 정보를 빼갔는지에 대해서는 여전히 확인 중"이라고 밝혔다. 사건 초기 발표와 달리 정보유출 규모와 수준을 아직도 제대로 파악하지 못했다는 얘기다.
정태영 현대캐피탈 사장은 "현재 사건에 대한 수사가 진행 중이기 때문에 모든 것을 밝히기는 어렵다"고 이해를 구했지만 사안의 심각성에 비해 사건 초기대응이 너무나 안이했다는 비난을 피하기 어렵게 됐다.
현대캐피탈은 고객 피해를 최소화하기 위해 ARS를 통한 대출을 중단했고 전화나 인터넷으로 신규 대출신청을 할 경우 회사 측이 고객에게 직접 전화를 걸어 본인확인 절차를 거치는 등 보안수준을 강화했다. 또 비밀번호가 유출됐을 가능성이 있는 고객에게는 전화나 e메일로 비밀번호 변경과 카드 재발급을 권유하고 있다. 하지만 피해고객에 대한 정확한 규모가 아직 파악되지 않았기 때문에 현대캐피탈의 모든 고객은 회사에 직접 문의해 본인의 신용정보 유출 여부 등에 대한 상담을 받아야 할 것으로 보인다.
금융권의 한 관계자는 "일반적으로 비밀번호 하나로 다양한 금융거래를 하는 경우가 많기 때문에 만약 정보가 유출됐다면 다른 금융계좌의 비밀번호도 바꾸는 게 안전하다"며 "2차 피해의 가능성이 남아 있는 만큼 회사 측만 믿지 말고 본인 스스로 피해를 막을 수 있도록 점검해야 한다"고 조언했다.
