금감원은 17일 이 회사에 대한 검사 결과, 임직원이 전자금융거래법 등 관련 법규에서 정한 전자금융사고 예방대책을 소홀히 한 탓에 고객정보가 대량 유출된 것으로 드러났다고 밝혔다.
지난 3월 6일부터 4월 7일까지 해커가 광고메일 발송 서버와 정비내역 조회 서버에 침입해 해킹한 개인정보는 약 175만명에 달하는 것으로 집계됐다.
이는 당초 개인정보가 유출됐을 것으로 알려진 고객 42~43만명 보다 4배 이상 늘어난 규모다.
이에 따라 금감원은 현대캐피탈 법인과 임직원에 대한 징계를 제재심의위원회에 상정할 방침이다.
금감원 관계자는 "정 사장에 대한 징계 여부도 고민하고 있다"며 "제재 수위 결정은 제재심의위에서 결정될 것"이라고 말했다.
금감원은 이번 사고의 가장 큰 원인이 서버에 접근할 수 있는 계정과 비밀번호 관리에 허점을 드러냈기 때문이라고 지적했다.
금감원에 따르면 현대캐피탈은 광고메일 발송 서버에 접속할 수 있는 계정과 비밀번호 5개를 외부인에게 부여하고, 이 회사 직원 1명은 퇴직 후에도 재직 시절의 계정과 비밀번호를 이용해 정비내역 조회 서버에 7차례 무단 접속한 것으로 조사됐다.
또 지난 2월 15일부터 4월 7일까지 이번 해킹사건의 주범이 이용한 것과 같은 인터넷프로토콜(IP) 주소에서 해킹시도가 이뤄진 것을 포착하고서도 예방조치를 제대로 하지 않은 것으로 파악됐다.
특히 해킹사건이 발생해도 피해를 최소화하도록 고객의 비밀번호를 암호화해야 하는데도 고객정보의 조회·생성·변경 내역이 기록되는 로그파일에 남은 비밀번호를 암호화하지 않은 것으로 드러났다.
금감원은 이번 해킹사건으로 현재까지 고객 정보가 인터넷 등에 노출되거나 금전적 피해를 본 신고사례는 없다고 설명했다. 다만 해킹된 정보를 매매하거나 유포해 2차 피해 가능성이 있다고 덧붙였다.
실제로 사건을 수사 중인 서울지방경찰청 사이버범죄수사대는 최근 현대캐피탈 서버를 해킹한 일당이 국내 대출중개업체 직원에게 고객정보를 팔아넘긴 사실을 확인했다.
금감원 관계자는 "금융 정보기술(IT) 보안을 강화하고 사고가 재발하는 것을 방지하는 대책을 마련해 금융위원회와 함께 다음 달 발표할 계획이다"라고 말했다.