| GA 개인정보 침해사고(해킹) 발생 경과 및 향후 계획 |
| Ⅰ | 침해사고 발생 개요 |
□(인지 및 초동대응) ’25.4월 국가정보원이 일부 GA(법인보험대리점, 2개사)의 개인정보 침해사고(이하 ‘해킹’) 정황을 최초 인지*하였으며,
* 다크웹(일반 검색엔진으로는 접근 불가하고 특수한 경로로만 접근 가능한 웹사이트)에서 신원미상의 해커가 GA의 개인정보를 탈취・공개하려는 정황 확인
◦금번 해킹이 보험영업지원 IT업체(이하 ‘솔루션社’)에서 비롯된 정황도 확인됨에 따라 금융보안원이 GA 및 솔루션社에 대한 조사・분석을 진행하였습니다.
□(발생 경위) 솔루션社 개발자가 이미지 공유사이트(해외)를 이용하는 과정에서 악성코드 링크를 클릭하였고, 이에 개발자 PC가 악성코드에 감염된 것으로 확인되었습니다.
◦상기 개발자 PC에는 고객사(GA) 웹서버 접근 URL 및 관리자 ID/비밀번호가 저장(브라우저의 자동 저장 기능)되어 있었으며,
◦악성코드로 인해 동 PC에 저장되어 있던 GA 14개사(해킹 발생 2개사 포함)의 웹서버 접근 URL 및 관리자 ID/비밀번호가 유출된 것으로 추정됩니다.
| Ⅱ | 개인(신용)정보 유출 현황 |
| ◈ 해킹 발생 GA 2개사(A법인보험대리점/B법인보험대리점)에 대한 금융보안원의 점검 결과 및 관리자 ID/비밀번호 등이 유출된 여타 GA 12개사에 대한 점검 진행 상황을 정리 |
□(A법인보험대리점) 고객 및 임직원 등 908명(고객 349명, 임직원/설계사 559명)의 개인정보가 유출되었으며,
◦일부 고객정보(128명)의 경우 가입한 보험계약의 종류, 보험회사, 증권번호, 보험료 등 신용정보주체의 보험가입* 내용을 판단할 수 있는 정보(신용정보)도 포함된 것으로 확인되었습니다.
* 보험가입 정보 外 보험금 지급 및 질병 관련 정보 등은 보유하지 않음
□(B법인보험대리점) 고객 199명의 개인정보가 유출되었으며,
◦다만, 고객의 보험계약에 관한 거래정보 등 신용정보의 유출은 없었던 것으로 확인되었습니다.
□(여타 12개사) 생・손보협회를 통해 진행한 보험회사(위탁사)의 GA(수탁사) 점검(로그기록 분석) 결과, 1개사에서 개인정보 유출 정황이 확인되었으며,
※ 2개사에서는 침해 정황 확인(개인정보 유출 정황은 없음)
◦유출량은 매우 적은 것으로 추정되나 보다 정확한 실태파악을 위해 전문기관인 금융보안원을 통해 추가 검증을 실시(12개사 전체 대상)할 예정입니다.
※전반적인 침해실태 파악을 위해 솔루션社의 서비스를 사용 중인 여타 회사(43개사)에 대해서도 이상 IP 접속 확인 등 필요
| <개인(신용)정보 유출 현황> | |||
| 회사명 | 고객 정보 | 임직원/설계사 정보 | 합 계 |
| A법인보험대리점 | 349명 (성명/주민번호/전화번호 등) | 559명 (성명/전화번호 등) | 908명 |
| B법인보험대리점 | 199명 (성명/주민번호/전화번호 등) | - | 199명 |
| Ⅲ | 향후 계획 |
개인(신용)정보 유출사실 對 고객 통지 및 2차 피해 예방 조치
◦정보 유출 GA・보험회사로 하여금 관련 법령*에 따라 개인(신용)정보 유출사실을 고객에게 조속히 개별 통지토록 하고,
* 「신용정보법」(제39조의4 제1항) 및 「개인정보보호법」(제34조 제1항)
◦보험회사에게는 유출 개인(신용)정보와 관련된 2차 피해 예방*을 위해 필요한 조치를 취하도록 재차 요구할 계획입니다.
* 유출 정보를 악용한 보험계약대출(약관대출), 적립금 중도인출, 보험계약 해지・변경 등이 발생하지 않도록 보험회사에 유의를 요구
피해상담센터 설치 및 업계 유의사항 안내
◦정보 유출 GA・보험회사 내 피해상담센터*를 설치하여 유출로 인한 피해 접수, 관련 제도 문의 등을 적극 상담・대응할 예정이며,
* 고객 통지문에 안내 예정
◦추가 피해 예방을 위해 GA・보험회사에 대한 ID/비밀번호 관리 강화, 보안 취약점 점검, 불필요한 고객정보 삭제, 솔루션社에 대한 보안관리 강화 등을 재차 요구*할 계획입니다.
* 향후 GA・보험회사 검사 시 신용정보 관리실태를 보다 면밀히 살펴볼 방침
현장검사 및 유관기관과의 공조 지속
◦개인신용정보 유출 GA에 대한 현장검사를 실시하여 필요 조치를 취할 계획이며,
◦향후에도 금융감독원・금융보안원・생명보험협회・손해보험협회는 빈틈 없는 대응을 위해 국가정보원, 개인정보보호위원회 등 유관기관과 지속 공조・소통해나갈 예정입니다.
※ 「개인정보보호법」 위반과 관련해서는 이미 개인정보보호위원회의 조사가 진행 중이므로 사실관계가 보다 명확히 파악될 수 있도록 공조
| Ⅳ | 보험소비자 당부사항 |
| ◈ 개인정보 유출로 인한 피해를 예방하기 위해 다각적으로 노력 중이오니 보험소비자 여러분께서는 과도한 우려나 불필요한 오해를 지양하여 주시기 바라며, ◦다만, 피해 발생 가능성을 최대한 차단할 수 있도록 당부사항 및 필요 조치를 주지・이행하여 주시기 바람 |
개인정보 유출사실 통지를 빙자한 스미싱 등 유의
◦개인정보 유출사실 통지를 빙자한 스미싱* 등을 예방하기 위해 금번 개인정보 유출 관련 對 고객 통지(휴대폰 문자메시지/이메일 이용 예정) 시 URL은 일체 포함하지 않을 예정입니다.
* 문자메시지(SMS)와 피싱(Phishing)의 합성어로 휴대폰 문자메시지를 통한 전자 금융사기를 통칭
◦보험소비자 여러분께서는 개인정보 유출 등을 언급하며 URL 링크를 클릭토록 유도하는 문자메시지나 이메일을 수신하는 경우 절대 클릭하지 마시고 삭제하여 주시기 바랍니다.
◦아울러, 금융감독원・금융보안원・GA・보험회사 등은 개인정보 유출 해소 등을 빌미로 금전이나 앱(App) 설치를 요구하지 않으니, 이러한 요구에 절대 응하지 않도록 유의하여 주시기 바랍니다.
유출 피해고객은 금융회사 홈페이지/앱(App) 비밀번호 변경 요망
◦유출된 개인정보를 활용하여 보험회사 등 금융회사 홈페이지/앱(App)에 접속, 금융거래를 시도하는 행위도 우려*됩니다.
* 특히, 생년월일 등 개인정보로부터 유추할 수 있는 아이디, 비밀번호를 사용하는 경우
◦개인정보가 유출된 보험소비자 여러분께서는 홈페이지/앱(App) 접속을 위한 비밀번호를 변경하여 주시기 바랍니다.
☞ 본 자료를 인용하여 보도할 경우에는 출처를 표기하여 주시기 바랍니다.(http://www.fss.or.kr)