전자지급결제 대행업체인 KG이니시스가 부실한 서버관리로 금융감독원의 제재를 받았다.

 

고객정보와 거래내역이 탈취됐지만 금융거래정보 등 핵심정보가 아니고 유출건수가 많지 않아 제재수위는 경징계에 그쳤다.

 

21일 금융감독원에 따르면 금감원은 이달 초 KG이니시스가 정보처리시스템 안전대책 수립·운용에 소홀해 고객정보가 유출됐다며 '기관주의' 조치를 내렸다.

 

지난 2013년 5월 KG이니시스가 운영중이던 가맹점 홈페이지 서버에 해커가 악성프로그램을 설치해 데이터베이스(DB)용 비밀번호를 탈취한 일이 있었다. 해커는 DB에 보관중인 1만건 가량의 고객정보와 거래내역을 빼내갔다.

 

다만 당시 유출된 정보는 포인트 서비스 조회내역으로 핵심정보는 아니었고 유출된 정보로 인한 피해도 없었던 것으로 알려졌다.

 

해킹프로그램에 의해 가맹점접속 비밀번호와 내부 직원 이메일 및 비밀번호 등이 유출되기도 했다. 방화벽 등 정보보호시스템으로 외부접속을 차단하지 않고 그대로 둬 서버가 해킹에 무방비로 노출되게 방치한 것도 문제가 됐다.

 

KG이니시스 관계자는 "웹서버 관리 부실에 대한 조치가 있었던 것으로 결제서비스는 서버대 서버로 이뤄져 웹상에서 노출되는 문제는 없었다"며 "악성 펌웨어 감염으로 문제가 된 부분은 추후 업데이트를 통해 해결했으며 신속하게 수사를 진행하고 유출된 정보도 모두 회수했다"고 말했다.

 

금감원 관계자는 "정보유출건수가 100만건 이상이면 기관경고, 미만이면 기관주의를 주게 돼 있다"며 "양정 기준에 따라 제재를 내린 것"이라고 설명했다.

 

 

원수경 기자 sugyung@etomato.com