국내 자산운용사 19곳 연쇄 해킹…개인정보위 조사 착수

[아이티데일리] 러시아계 해커그룹 ‘퀼린(Qilin)’이 9월 한 달간 국내 자산운용사 19곳을 해킹해 투자자 개인정보를 탈취한 후 다크웹에 공개하는 사건이 발생했다. 사고는 IT 외주업체 지제이텍의 서버가 랜섬웨어에 감염되면서 시작됐다.

개인정보보호위원회는 여러 자산운용사로부터 개인정보 유출 신고를 접수받아 지난 23일 조사에 착수했다고 발표했다. 지제이텍을 중심으로 유출 경위와 피해규모, 안전조치 의무 준수 여부 등을 확인할 예정이다.

금융감독원에 따르면 퀼린은 지난 15일 10곳, 18일 3곳, 19일 6곳 등 총 19곳의 자산운용사를 공격했다. 피해 업체로는 멜론자산운용, 토러스자산운용, 어썸자산운용, 클라만자산운용 등이 확인됐다. 해킹 피해를 입은 사모펀드 운용사들의 총 운용자산은 2조 5천억 원 규모에 달한다.

유출된 정보는 증권사명, 계좌번호, 사용자 ID 및 비밀번호, 연계 계좌번호, 제휴은행 정보 등이다. 뿐만 아니라 홈트레이딩시스템(HTS) 접속용 핀번호와 고객확인 양식, 법인실소유자 확인서, 가족관계증명서, 주민등록증 등 민감한 개인정보도 일부 포함된 것으로 알려졌다. 특히 일부 자산운용사에서는 매매보고서나 주주명부까지 유출된 것으로 알려져 고객들의 불안감이 높다.

실제 최근 서울경찰청 사이버수사대는 다크웹에 유출된 계좌 정보를 이용해 고액 자산가 통장에 무단 접속을 시도한 조직을 적발하기도 했다. 다크웹에서는 수탁은행·신탁사 담당자 연락처, 증권사 매매 보고서 등이 수백원에서 수천원에 거래되고 있으며, 임직원이나 고액 투자자 관련 정보는 수십만원에서 수백만원에 경매에 올라오는 상황이다.

이번 사건은 지제이텍이라는 단일 IT 외주업체 해킹이 금융업계 전반으로 확산된 공급망 보안 사례의 일종이다. 어썸자산운용 측은 “사용 중인 파일 서버가 8일 랜섬웨어에 감염됐는데, 다른 운용사 일부도 동시에 감염됐다”고 밝혔다. 지제이텍은 2015년 설립된 금융투자업 컨설팅 및 아웃소싱 전문기업으로 600개 이상의 금융기관과 거래하고 있다. 대형 증권사는 내부 전산을 직영 관리해 상대적으로 안전하지만, 인력과 예산이 부족한 중소형 운용사들은 외주에 의존하는 경우가 많다.

퀼린은 2022년 7월 처음 발견된 러시아계 랜섬웨어 그룹으로, 올해만 500여 곳의 기업 및 기관을 공격한 것으로 파악되고 있다. 이들은 암호화된 파일을 복구하기 위한 복호화 키 제공의 대가로 몸값을 요구하는 동시에, 유출한 데이터를 다크웹에 공개하지 않는 조건으로 추가 몸값을 요구하는 이중 협박 전술을 펼친다.

개인정보위는 “최근 랜섬웨어를 이용한 개인정보 유출사고가 늘고 있는 점을 감안해, 각 사업자들은 운영 중인 서비스에 대한 취약점 점검 및 보안 업데이트 실시, 회원 데이터베이스 등 주요 파일을 별도 백업·보관하는 등 각별한 주의가 필요하다”고 강조했다.