동양생명, 신한라이프, 라이나생명 등 일부 보험사가 고객 동의 없이 자회사 법인보험대리점(GA)에 개인정보를 제공한 사실이 드러나 논란이 일고 있다. 금융당국은 최대 수천억원대 과징금 부과를 검토 중이며 제재 수위는 7월 금융위원회 의결로 결정될 전망이다.
아울러 유퍼스트보험마케팅과 하나금융파인드 GA에서는 해킹 사고로 고객과 임직원 등 1000여 명의 정보가 유출된 것으로 확인됐다. 사고 원인은 전산 솔루션 업체 개발자 PC의 악성코드 감염으로, 통합 전산관리 시스템을 통해 다수 보험사와 정보가 공유돼 있어 추가 피해 우려가 큰 상태다.
최근엔 생명보험사인 KB라이프생명에서도 해킹으로 임직원 정보가 유출되는 등 보안 사고가 잇따르자, 금융위는 각 금융사에 전산 시스템 점검과 대응 강화 지침을 전달했다. 최근 SK텔레콤 해킹 사태가 대한민국 국민의 개인정보 유출을 넘어, 국가 안보 위기로까지 거론되는 만큼, 보험업계도 개인정보 보호 인식과 보안 체계 전반에 대한 재점검이 필요한 상황이라는 지적이 적지 않다.
고객 동의 없이 개인정보 GA에 넘긴 보험사들...수천억 과징금 가능성
![▲동양생명 [사진=연합뉴스]](https://cdn.thepublic.kr/news/photo/202505/265090_265189_4952.jpg)
[더퍼블릭=손세희 기자] 일부 보험사가 고객의 동의 없이 자회사 GA에 개인정보를 제공한 사실이 드러나며 보험업계의 개인정보 무단 이전 문제가 도마 위에 올랐다.
금융당국 및 보험업계에 따르면 금융감독원은 동양생명, 신한라이프, 라이나생명 등 3개 보험사가 고객의 사전 동의 없이 GA에 고객의 개인정보를 넘긴 사실을 확인하고 신용정보법 위반 사항에 대해 논의하고 있는 것으로 알려졌다.
GA는 보험사와 계약을 맺고 보험상품을 판매하는 자회사로, 보험사로부터 고객 정보를 넘겨받아 이를 이용해 보험상품을 영업하는 구조다. 문제는 이러한 정보 제공이 고객의 사전 동의 없이 이뤄졌다는 점이다.
앞서 금감원은 2022년과 2023년에 거쳐 세 회사의 위반 사실을 파악했으나 2년이 지나도록 후속 조치는 미뤄온 상태였다. 오는 7월 우리금융지주의 동양생명 인수를 앞두고 금융당국이 제재를 마무리할 것이라는 전망에 따라, 다음 달 열릴 제재심의위원회에서 최종 과징금 수위가 결정될 가능성이 높은 것으로 점쳐진다.
먼저 금감원은 5월 15일 동양생명을 대상으로 제재심의위를 열고 관련 사안을 심의했다. 신용정보법에 따르면, 개인정보를 동의 없이 제3자에게 제공할 경우 연매출의 3% 이내에서 과징금을 부과할 수 있다.
만약 과징금이 최대 상한선으로 부과된다면, 동양생명은 지난해 매출 4조7500억원을 기준으로 1452억원 규모의 과징금을 내야한다. 이는 동양생명의 지난해 당기순이익(3142억원) 절반에 달하는 금액이다.
같은 방식으로 계산해 보면, 지난해 매출 6조9850억원을 기록한 신한라이프의 과징금은 약 2096억원으로 추정된다. 또한, 3조2080억원의 매출을 올린 라이나생명은 962억원 가량의 과징금을 물어야 할 수 있다.
보험업계에서는 과징금이 대규모로 부과될 경우 회사의 재정 건전성에 악영향을 미칠 수 있다는 우려가 커지고 있다. 금감원 내부에서도 위반의 중대성은 인정하되 매출의 3%에 해당하는 과징금이 과도하다는 의견이 나오고 있는 것으로 전해졌다. 실제 과징금 규모는 금감원의 제재심을 바탕으로 금융위 의결을 거쳐 확정된다.
다만, 보험업계에서 개인정보 유출 사건은 이미 수차례 발생한 바 있어 금감원의 과징금 부과도 일종의 사후적 조치에 불과하다는 게 업계의 중론이다.
지난 2019년에는 AIA생명이 고객의 동의 없이 자회사인 GA에 개인정보를 넘긴 사실이 적발돼 과태료와 시정명령을 받았다. 이듬해인 2020년에는 메트라이프생명도 유사한 사유로 과징금을 부과받았으며, 2021년에는 푸르덴셜생명이 고객 동의 절차를 위반한 정황이 드러나 경고 조치를 받았다.
보험사들이 고객의 민감한 정보를 GA 등 자회사에 무단 제공하는 행위는 고객의 신체 정보, 병력, 가족력 등 매우 민감한 개인정보를 고객 동의 없이 제공하는 것인 만큼, 금감원의 제재 수위가 가볍지는 않을 것이라는 전망이 나오고 있다.
해킹에 전산망도 뚫렸다...연이은 보험사 개인정보 유출
이러한 가운데 금융당국은 최근 일부 GA에서 발생한 전산 해킹 사고에 대해서도 사태 파악에 나섰다. 고객은 물론 임직원의 개인정보까지 무더기로 유출된 정황이 드러났기 때문이다.
문제가 된 곳은 대형 GA인 유퍼스트보험마케팅과 하나손해보험의 자회사형 GA 하나금융파인드다. 두 회사에서만 총 1000여 명의 개인정보가 유출된 것으로 확인됐다.
금감원은 지난 4월 20일 이 같은 내용을 담은 ‘GA 개인정보 침해사고 발생 경과 및 향후 계획’을 발표하며, 사고 경위를 조사하고 2차 피해를 방지하기 위한 대응책을 마련하겠다고 밝혔다.
금감원 발표에 따르면, 국가정보원은 지난 4월 다크웹에서 해커가 GA 관련 개인정보를 탈취해 공개하려는 정황을 포착하고 이를 금융당국에 긴급 통보했다. 조사 결과 GA사에 전산 솔루션을 공급하는 IT업체 지넥슨의 개발자 PC가 해외 공유사이트 이용 중 악성코드에 감염되면서 정보 유출이 일어난 것으로 파악됐다.
지넥슨은 현재 500명 이상의 설계사를 보유한 대형 GA 다수에게 보험상품 비교·추천 프로그램을 제공하고 있다. 일부 GA와는 통합 전산관리 시스템(ERP)까지 공유하고 있는 상황이다.
감염된 PC에 저장돼 있던 총 14개 GA의 웹서버 접속 주소와 관리자 ID 및 비밀번호 등의 민감 정보가 새어나가면서 유퍼스트 고객과 임직원 등 총 908명의 개인정보 및 하나금융파인드 고객 199명의 정보가 유출됐다고 금감원은 설명했다.
유출 내용을 살펴보면 유퍼스트의 경우 349명의 고객 정보뿐 아니라 559명의 임직원 및 설계사 정보도 유출됐는데, 이 중 128명은 보험계약 내역, 보험사, 증권번호, 보험료 등과 같은 신용정보까지 포함돼 있었다.
반면 하나금융파인드는 고객의 개인정보 유출은 있었지만 보험계약 관련 정보는 빠져나가지 않은 것으로 나타났다.
이에 더해 가장 최근에는 KB라이프생명에서도 해킹 사고가 발생했다. KB라이프는 KB금융그룹 산하 보험사 KB생명과 외국계 보험사 푸르덴셜생명이 지난 2022년 합병한 통합 법인이다.
KB라이프의 경우 전산망이 아닌 모바일 보안 시스템이 뚫렸다. 지난 5월 16일 새벽 KB라이프의 구형 모바일관리(MDM) 서버가 사이버 공격을 받아 해킹이 이뤄졌다.
지난 4월 30일 서비스를 종료한 이 서버에는 여전히 임직원 정보가 남아 있었던 것으로 알려졌다. 이번 유출 내용은 임직원의 사번과 휴대전화번호, 회사 이메일, 단말기 정보 등이며 일부 퇴직자 정보도 포함된 것으로 파악됐다.
KB라이프 측은 사고 발생 직후 해당 서버를 격리하고 네트워크를 차단, 금융보안원과 함께 정밀 분석 절차를 밟으며 피해 규모 파악 중인 것으로 전해졌다.
한편, 최근 2500만명 상당의 가입자를 보유한 SK텔레콤에서 유심(USIM) 해킹 등 정보 유출 사고가 발생함에 따라, 일부 보험사는 SKT 및 SKT 알뜰폰 가입자의 본인 인증을 제한하는 등 사전 차단 조치에 나서기도 했다.
그럼에도 개인정보 유출 사고가 보험업계 등의 금융권으로까지 확산되자, 금융위는 5월 22일 금감원과 금융보안원 및 각 금융사에 전산 분야 비상 대응체계 강화를 요청하는 공문을 발송하기에 이르렀다. 아울러 추가 피해 방지와 유사 사고 재발 방지를 위한 현장 검사 및 보안점검 강화를 예고했다.
더퍼블릭 / 손세희 기자 sonsh821@thepublic.kr