하나은행 전산망이 뚫려 사상 최대 규모의 금융·개인정보가 유출된 것으로 알려졌다. 

서울지방경찰청 보안수사대는 지난해 하나은행 전산망에 악성 코드를 심으려던 혐의로 구속된 이 모 씨의 추가 범행을 수사하는 과정에서 외장하드 2개를 입수했는데, 외장하드의 용량은 각각 1테라바이트(TB)와 500기가바이트(GB)로, 디지털포렌식 결과 해킹 등을 통해 유출한 신용카드 정보가 저장된 것으로 확인됐다고 15일 전했다.

1.5테라바이트는 신용카드 정보 기준으로 412억 건이 들어가는 용량이다. 다만 저장된 데이터 중 불법 유출된 개인·금융정보의 양이 얼마나 되는지는 아직 파악되지 않은 것으로 전해졌다.

경찰 관계자는 "유출 경위와 피해 범위 등을 파악하기 위해 올해 3월 금융감독원에 데이터 분석을 의뢰했으나 협조가 이뤄지지 않고 있어 얼마나 유출됐는지 파악조차 하지 못하고 있다"며 "범행 경위를 계속 수사하는 동시에 유사 사례 방지를 위해 금융당국의 협조를 구하는 상황"이라고 말했다.

경찰에 따르면 은행 보안 관련 종사자인 이 씨는 2012년 카드가맹점 수백 곳에 설치된 포스 단말기와 ATM 등에 카드 정보를 빼내는 악성코드를 심어 고객들의 카드 정보를 빼돌린 것으로 알려졌다. 유출된 정보는 신용·체크카드 사용내역과 번호, 유효기간, 비밀번호 암호화 값 등인 것으로 알려졌다. 또 주소와 주민등록번호, 휴대전화번호 등 개인정보도 담겨있다.

끊이지 않는 개인정보 유출 문제는 없나

최근 개인 신용·체크카드 정보가 유출되거나 불법 유통되는 사고가 연달아 발생하면서 금융 안정성 문제가 제기되고 있다. 과거 대규모 카드 개인정보 유출 사태를 겪은 만큼 소비자 불신으로 이어질 수 있다는 우려도 제기되고 있다. 코로나19 확산으로 속도를 내고 있는 언택트에 대한 금융소비자들의 불안도 커질 것으로 보인다. 언택트 서비스는 간편하지만 보안에 취약하기 때문이다.

금융권에 따르면 지난 3일 토스의 온라인 가맹점 세 곳에서 가입자 8명이 자기도 모르는 사이 총 938만원이 결제되는 사건이 발생했다. 지난 9일에는 해외 다크웹을 통해 국내 신용카드 정보 90만건이 불법 유통된 것으로 알려졌다. 다크웹은 특정 프로그램을 통해서만 접속할 수 있는 온라인 암시장이다. IP 추적을 피할 수 있어 신용카드 정보 거래자들을 추적하기 어렵다.

불법 유통된 정보의 54%는 유효기간이 만료됐거나 카드가 재발급돼 사용 불가능한 것으로 나타났지만 아직 유효한 카드 정보도 41만 건에 이르는 것으로 파악됐다. 특히 결제에 필요한 모든 정보(카드번호, 유효기간, CVC 코드)가 유출된 케이스는 1000건으로 이들 카드는 실제 금전적인 피해가 발생할 수 있어 논란이 됐다.

카드업계는 지난 2014년 KB국민카드·농협은행·롯데카드 고객정보가 1억500만 건 이상 유출되는 개인정보 대량 유출 사건을 겪은 바 있다. 당시 카드 3사에 등록됐던 고객의 이름·주민등록번호·휴대전화 번호·주소·카드번호 등 최대 19개 항목의 개인정보가 유출됐다. 2017년에는 일부 현금자동화기기(ATM)가 해킹당하면서 고객 개인정보가 유출돼 금전적인 피해가 발생한 바 있다.

금융당국은 토스 사건 이후 비슷한 사고가 재발하지 않도록 간편결제 등 비대면 금융 서비스의 보안 위험을 점검하기로 했다. 카카오페이와 네이버페이 등의 결제 시스템도 다시 들여다볼 계획이다. 이번 사고로 드러낸 디지털 금융 시스템 전반의 허점을 찾아보겠다고 전했다.