국내 유일의 보증보험 전문회사인 SGI서울보증은 전세대출을 중심으로 많은 소비자들이 신뢰하며 이용하는 기관이다. 특히 다른 보증기관에 비해 대출 문턱이 낮아 실수요자들이 많이 찾는 것으로 알려져 있다.
하지만 이달 14일, 랜섬웨어 공격으로 서울보증의 시스템이 마비되면서 전세대출은 물론 휴대폰 개통과 자동차 할부 등 다양한 업무가 차질을 빚었다. 특히 이사를 계획했던 이들의 전세금 대출 관련 피해가 컸다. 사흘 만에 시스템은 복구됐지만, 예상보다 오래 걸린 수습 과정에 금융당국의 엄중한 조치가 불가피할 것으로 보인다.
더욱이 서울보증이 기본적인 보안 인증조차 없이 운영돼 해킹에 취약한 상태였던 사실이 알려지면서 개인정보 유출 가능성까지 제기되고 있다. 전문가들은 이번 사건을 계기로 금융회사의 보안 강화가 시급하다고 한 목소리를 내고 있다.
전세대출 핵심 역할하는 SGI서울보증
![▲서울 종로구 SGI서울보증 본사 [사진=연합뉴스]](https://cdn.thepublic.kr/news/photo/202507/270479_271061_577.jpg)
[더퍼블릭=손세희 기자] SGI서울보증은 국내에서 유일하게 ‘보증보험’만을 취급하는 전업 금융사다. 표면적으로는 민간 기업이지만, 외환위기 당시 예금보험공사의 공적자금이 투입되면서 현재는 예보가 83.85%의 지분을 보유하고 있다. 따라서 사실상 공공성을 띤 금융기관으로 분류된다.
전체 보증 시장에서 서울보증의 점유율은 24.1%로 전체 2위, 민간 부문에서는 56%를 차지하며 1위 자리를 지키고 있다. 취급하는 주요 상품으로는 ▲각종 계약 이행보증 ▲신원확인 보증 ▲휴대폰 할부 보증 ▲중금리 대출 보증 ▲전세자금 대출 보증 등 실생활과 밀접한 보증 서비스가 있다.
예컨대, 사회 초년생이 대출을 받을 때 은행이 서울보증에 보증보험을 들면 담보 없이도 대출을 내준다. 또 납품계약을 체결한 중소기업이 부도를 낼 경우, 발주 기업은 서울보증을 통해 돈을 돌려받을 수 있다. 신용을 기반으로 금융 생태계의 허리를 책임지는 구조다.
특히, 서울보증은 전세자금대출 과정에서 핵심적인 역할을 맡고 있다. 대부분의 전세대출 상품은 세입자가 전세보증금 반환보증에 가입하는 것을 조건으로 하는데, 세입자가 보증금을 돌려받지 못할 경우 서울보증이 집주인을 대신해 이를 지급하게 된다.
이러한 보증 장치 덕분에 은행은 전세자금대출을 실행할 수 있다. 즉, 보증서 없이는 대출도 불가능하다. 또다른 전세대출 보증기관인 주택도시보증공사(HUG)의 경우, 조건이 까다로워 많은 실수요자들이 상대적으로 문턱이 낮은 서울보증에 의존하고 있는 실정이다.
앞서 서울보증은 수차례 도전 끝에 지난 4월 유가증권시장에 상장하며 IPO(기업공개) 문턱을 넘었다. 상장을 준비하면서 회사 측은 정보보호 관리체계 인증을 획득하겠다는 계획을 밝혔지만, 준비 과정 중 해킹 사고라는 악재를 맞았다.
서울보증 전산 마비에 이사도 멈췄다
금융권에 따르면, 지난 14일 새벽부터 서울보증의 웹사이트가 마비되면서 보증보험 관련 서비스가 전면 중단됐다. 이 여파로 전세자금 대출에 필요한 보증서 발급이 멈추면서 소비자들의 대출 실행이 지연됐고, 휴대폰 할부 개통이나 자동차 할부 구매 등 실생활 전반에서 차질이 빚어졌다.
특히 전산 장애가 발생한 14일이 이사 적기로 여겨지는 ‘손 없는 날’이었던 만큼, 이사를 앞둔 소비자들의 피해가 컸던 것으로 알려지고 있다. 서울보증의 보험증권 발급 업무가 중단되면서 이날 이사를 계획했던 이용자들의 대출 실행에도 차질이 빚게 된 것이다.
이에 서울보증은 전세대출 관련 소비자 피해를 최소화하기 위해 선(先) 대출 실행 후 보증서 가입이 가능토록 시중은행들과 협의를 진행했다고 밝혔다. 아울러 피해신고센터에 접수된 신고 내용을 토대로 사실관계가 확인되고 피해 금액이 확정되면 전액 보상하겠다는 방침을 내렸다.
지난 16일부터 운영을 시작한 고객 피해신고센터에는 첫날에만 총 55건의 피해 사례가 접수됐다. 신규 임차인의 전세대출 지연으로 인해 임대인(신고자)이 기존 임차인의 이사 비용을 부담하게 된 사례를 비롯해, 보증서 발급 지연 47건, 채무 변제 관련 2건 등 다양한 불편이 접수됐다.
이명순 서울보증 대표이사는 “한 건의 피해도 빠짐없이 보상하겠다는 각오로 전담센터를 설치, 추후 책임 있는 후속 조치를 취할 계획”이라며 “금융감독원·금융보안원 등과 함께 침해 경로 분석 및 복구 작업에 긴밀히 협력 중으로, 자사가 사고 대응을 주도하고 모든 상황을 직접 관리하고 있다”고 전했다.
그러나 회사의 주요 전산이 복구되는 데 꼬박 사흘이 걸렸다. 지난 17일 오전 10시, 서울보증은 전산장애가 발생한지 약 81시간 20분 만에 핵심 시스템을 복구하고 보증서 발급 업무를 재개했다. 그럼에도 내부 업무를 뒷받침하는 시스템은 아직 완전한 복구가 이뤄지지 않은 것으로 알려졌다.
전자금융감독 규정에 따르면 전자금융 사고 발생 시 핵심 업무는 3시간 이내에 복구해야 하고, 보험업법에서는 보험사의 주요 업무 복구 시간을 24시간 이내로 규정하고 있다. 그러나 서울보증의 이번 시스템 장애는 이 기준을 훨씬 넘기며 장기화 돼 금융당국의 제재가 불가피할 것으로 보인다.
사안의 심각성을 고려해, 시스템 복구 이후 금융감독원이 이번 사태에 대한 검사를 진행할 것으로 예상된다. 보험업계에서 랜섬웨어 공격으로 인한 대규모 장애가 처음 발생한 만큼, 이번 조치가 앞으로 업계 전반에 미칠 영향에 관심이 쏠리고 있다.
랜섬웨어 피해 공식화...개인정보 유출 가능성도
![▲랜섬웨어에 공격받아 마비된 컴퓨터 [EPA=연합뉴스 자료사진]](https://cdn.thepublic.kr/news/photo/202507/270479_271063_5937.jpg)
서울보증은 보도자료를 통해, 이번 시스템 장애의 원인은 랜섬웨어 공격으로 최종 확인됐다고 밝혔다. 14일 새벽 회사 데이터베이스에서 발생한 이상 징후로부터 시작된 해당 장애는, 금융보안원 등 전문기관 공동 조사를 통해 랜섬웨어 공격에 의한 것으로 분석됐다는 설명이다.
이윽고 경찰청 국가수사본부 사이버테러수사대가 지난 15일 서울 종로구에 위치한 서울보증 본사에서 로그 기록 등 관련 자료를 임의로 제출받아 분석에 돌입했다. 경찰청에 따르면, 경찰은 이번 사건을 중대한 사이버범죄로 판단해 서울보증 측의 고발 없이도 자체적으로 수사에 나서는 ‘인지 수사’를 진행 중인 것으로 알려졌다.
업계에서는 이번 공격의 배후로 신종 랜섬웨어 조직인 ‘건라(GUNRA)’ 그룹을 지목하고 있다. 건라는 지난 4월 처음 등장한 랜섬웨어로, 러시아 해킹 그룹 ‘위저드 스파이더’가 개발한 랜섬웨어 ‘콘티’의 소스코드를 활용해 자체 기술을 발전시킨 것으로 전해진다.
건라의 공격은 이메일 피싱을 비롯해 악성 문서나 압축파일, 가짜 소프트웨어 업데이트 유포 등 다양한 방식으로 시작되는 것으로 알려졌다. 이들은 C/C++로 제작된 정교한 악성코드에 안티포렌식 기능과 탐지 회피 기술을 대거 적용해 보안 시스템을 교묘히 우회하고, 감염된 시스템의 데이터를 전면 암호화하는 고도화된 랜섬웨어를 주무기로 사용한다.
이 조직은 과거 일본·브라질·이집트 등 여러 국가의 부동산 업체 및 의료기관, 정부기관 등을 해킹해 대규모 정보 유출을 일으킨 바 있다. 주로 시스템 복구를 위한 복호화(암호화된 데이터를 원래 형태로 되돌리는 과정)와 유출된 데이터를 미끼로 금전을 요구하는 ‘이중 협박’ 방식의 수법을 사용하는 것으로 전해진다.
일부 언론은 건라가 서울보증 측에 “해결을 원하면 답신하라”는 내용의 이메일을 보내 접촉을 시도했다고 보도했지만, 서울보증은 이에 대해 “해커로부터 이메일 등 직접적인 연락을 받은 사실은 없다”고 부인했다. 이어 “향후 연락이 오더라도 유관 전문기관과 협의해 원칙에 따라 대응할 방침”이라고 밝혔다.
한편, 서울보증은 “현재까지 개인정보 유출 정황은 발견되지 않았다”며 정보유출 논란에 대해서도 일단 선을 그은 상태다. 그러나 향후 조사에서 해커들이 서울보증의 주요 데이터베이스에 접근한 사실이 확인되면, 보증보험 가입 시 소비자가 제출한 민감한 금융정보가 유출됐을 가능성도 배제할 수 없다.
최근 해킹 사고를 겪은 SK텔레콤과 예스24의 경우에도 초기에는 유출 사실이 없다고 발표했지만, 사건 발생 수일~수주 후 대량 유출이 확인된 바 있다. 당시 예스24는 이용자 이름, 이메일, 주소 등의 정보가 유출된 것으로 확인되자 고객에게 소액의 현금 또는 포인트로 합의 형식의 보상을 제안해 논란이 일기도 했다.
금융기관인 서울보증은 개인정보뿐 아니라 신용도, 보증내역 등 민감한 금융정보까지 다루므로, 피해 범위가 밝혀질 경우 예스24보다 더 큰 ‘보상금 전선’이 열릴 수 있다는 관측도 제기되고 있다.
금융권 보안 공백 드러나...ISMS 의무화 목소리
서울보증의 해킹 피해가 알려지면서 국내 금융권 보안체계의 허점이 다시금 도마 위에 올랐다. 특히 서울보증이 ISMS(정보보호관리체계)·ISMS-P(개인정보보호관리체계) 인증을 받지 않은 사실이 밝혀지며 보안 사각지대에 대한 우려가 커지고 있다.
ISMS·ISMS-P 인증은 한국인터넷진흥원(KISA) 등 공인기관이 기업과 기관의 정보보호 및 개인정보보호 시스템을 점검해 인증하는 제도다. 인증을 받기 위해선 체계적인 보안 정책 수립과 실행, 위험관리 등 다각도의 기준을 충족해야 한다. 해당 인증이 법적 의무 사항은 아니지만 보안에 민감한 기업들에게는 사실상 필수 인증으로 여겨지고 있다.
실제로 서울보증은 지난 3월 상장 과정에서 제출한 증권신고서에 ‘관련 인증을 추진해 금융 보안 위협에 대응하겠다’고 명시했으나 아직 인증을 획득하지 못했다. 수백조 원 규모의 보증 업무를 처리하는 금융기관이 필수 인증을 받지 않았다는 점에서 이번 해킹은 예고된 참사였다는 게 업계의 중론이다.
물론 정보보호 관리 인증이 능사는 아니다. SK텔레콤과 예스24는 ISMS·ISMS-P 인증을 보유했음에도 보안 취약점이 드러났었기 때문이다. 이에 지난달 11일, 김상훈 국민의힘 의원이 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안을 발의하기도 했다. 개정안에는 ISMS·ISMS-P 인증 기준을 강화하는 내용이 담겼다.
그러나 서울보증은 이러한 인증조차 받지 않은 것으로 드러나 금융 보안 관리가 한층 더 허술했음이 드러났다. 문제는 이 상황이 서울보증에만 국한된 것이 아니라는 점이다. 보험업계에서는 삼성생명 등 일부 대형사를 제외하고는 관련 인증 보유가 저조하다. 금융권은 고객의 민감한 개인정보를 다루는 분야임에도 보안체계 구축에 대한 의무화가 느슨한 실정이다.
업계 전문가들은 정보보호 관리 인증을 의무화하지 않는 현 제도 하에서는, 이번 서울보증 사태와 같은 보안 불감증이 도미노처럼 이어질 수 있다고 우려하고 있다. 금융권 전반의 체계적인 보안 관리 강화가 시급하다는 목소리가 커지고 있다.
더퍼블릭 / 손세희 기자 sonsh821@thepublic.kr