금융당국, 웰컴금융 해킹사태 현장점검⋯‘징벌적 과징금’ 카드 꺼낼까

SGI 이어 웰컴금융도 랜섬웨어 공격 받아⋯대부업 보안 규제 사각지대 노려
계열사 웰컴저축은행 "피해 없어"⋯금융당국 "개인정보 유출 여부 파악할 것"

(사진제공=금융감독원)

금융감독원이 랜섬웨어 공격을 받은 웰컴금융그룹에 대한 현장 점검에 착수하고, 금융권 전산 보안 강화를 위한 제도 개선에 나선다. 업계도 서버 해킹·랜섬웨어 대응 훈련 등을 통해 사이버 위협 경계를 높이고 있다.

19일 금융권에 따르면 금감원은 최근 랜섬웨어 공격을 받은 웰컴금융그룹에 대한 현장 점검에 나서기로 했다. 지난달 SGI서울보증에 이어 2금융권에서 보안 사고가 잇따르자 금융당국은 징벌적 과징금 부과 등을 포함한 제도 개선을 적극 검토하고 있다.

금감원 관계자는 이날 본지에 "이번 웰컴금융그룹 해킹 사고와 관련해 빠른 시일 내에 현장 점검에 나설 수 있도록 금융보안원 등과 협의 중"이라며 "원인 및 사실관계를 확인하고 개인정보 유출 여부 등도 파악할 예정"이라고 설명했다. 당국은 세부 조사를 거쳐 후속 조치를 마련할 계획이다.

앞서 이달 초 웰컴금융 계열사 대부업체 웰릭스에프앤아이대부는 해외 해커 조직으로부터 랜섬웨어 공격을 당했다. 해당 해커 조직은 웰컴금융 내부 자료 1.02테라바이트(TB), 약 139만 개 파일을 확보했고 해당 파일에 개인 정보가 포함됐다고 주장하고 있다.

이번 웰컴금융 보안 사고는 전자금융거래법상 '전자금융업자'에 해당하지 않는 대부업계에서 발생해 추후 제도 보완 논의로 이어질 가능성이 크다. 현행 전자금융거래법은 금융회사로 하여금 정보보호최고책임자를 지정하고, 전자금융기반시설이 교란 및 마비되는 등의 사고가 발생하면 금융위원회에 지체 없이 알리도록 규정하고 있다. 다만 대부업은 법 적용 대상이 아니어서 감독이 제한적이다.

금감원 담당 검사국은 "전자금융거래법상 전자금융서비스를 제공하는 회사들은 고객 피해 예방과 안정성 확보를 위해 전산망 분리 등 보안 규정을 준수해야 한다"며 "하지만 대부업은 규제 대상에서 제외돼 있다"고 설명했다.

이어 대부업까지 규제 적용을 확대하는 방안에 대해 "규제 차이가 워낙 커 신중한 접근이 필요하다. 대부업체들이 정보통신기술(IT) 시스템을 얼마나 갖추고 있는지 확인할 필요도 있다"며 "별도의 법 체계를 새로 마련하는 방법도 검토될 수 있다"고 덧붙였다. 다만 이번 웰컴금융 해킹 사고가 전산망이 아닌 개인 PC에서 발생한 것으로 전해지면서 당국 내에선 상황을 조금 더 지켜보는 분위기도 감지된다.

웰컴금융그룹 타 계열사로의 피해 확산은 현재까지 없는 상태다. 웰컴저축은행 측은 "(웰릭스에프앤아이대부를 제외한) 웰컴저축은행 등 주요 계열사의 서버에 사이버 공격이 침입한 흔적은 없다"며 "현재까지 관련 피해 문의 접수는 없으며 상황을 공유하기 위해 고객들에 별도 안내를 진행할 예정"이라고 설명했다.

최근 해킹 사고가 잇따르자 IT 투자와 보안 인력·인프라가 상대적으로 취약한 2금융권을 중심으로 경계 수위를 높이는 모습이다. 저축은행 업계는 중앙회 차원에서 해킹 및 랜섬웨어 공격에 대비해 대응 훈련을 진행할 예정이다. "다음 주 이메일 지능형지속위협(APT) 공격 등에 대한 대응 훈련을 진행할 예정"이라며 "개별 저축은행들도 실시 결과를 보고할 예정"이라고 설명했다.