※ 본 기사는 뉴스필드 11월 3일 보도(신한캐피탈 ‘보안 담당 직원 수백GB 다운로드’ 논란에 침묵… “내부망 고객 자료냐, 단순 규정 위반이냐?”) 후속 취재 기사입니다.

■ 금융기관 내부망 감시 실패 드러나… 관리자급 직원 사적 이용

고객 신용정보를 다루는 여신전문금융회사 신한캐피탈의 핵심 보안 담당 책임자가 회사 외부망 공용 PC를 이용해 수백 기가바이트(GB)에 달하는 영화 파일을 사적으로 다운로드한 것으로 확인됐다.

보안 시스템 감시 의무를 가진 관리자급 인사가 회사 규정을 위반해 징계를 받았으며, 이 파일이 직원 모두가 사용하는 사무실 내 공용 컴퓨터에 무단으로 저장 및 유용되었다는 점에서 내부 관리 부실 논란이 커지고 있다.

신한캐피탈의 자체 감시 시스템은 이 행위를 인지하지 못했다.

회사는 영화 배급사의 저작권 침해 경고 전화를 받고 나서야 사안을 파악했으며, 특히 배급사가 ‘신한캐피탈 IP’를 추적해 경고했다는 사실 자체가 다운로드 경로의 불법성 의혹을 키우고 있다.

4일 본지 취재에 응한 신한캐피탈 관계자는 “다운로드된 자료는 영화였다”며, 행위자는 관리자급인 “보안 담당 책임자(매니저)가 맞다”고 확인했다. 이는 기존 ‘수백GB의 데이터’라고만 알려져 구체적인 용처를 알 수 없던 다운로드 자료의 성격을 신한캐피탈이 직접 확인해 준 것이다.

하지만 회사가 이 사실을 알게 된 경위에 대해서는 관계자가 “배급사 쪽에서 다운로드 받은 IP를 확인하고 저희 쪽에 확인차 전화를 한 걸로 안다”고 밝혀, 보안에 더욱 철저해야 할 여신전문금융회사로서 내부 통제 시스템의 허점을 스스로 인정했다.

고객 신용정보를 다루는 금융사의 보안 책임자가 저작권 침해 우려가 있는 사적 행위를 통해 적발되었고, 이로 인한 악성 코드 유입 등 잠재적 보안 위험 우려도 커지고 있다.

해당 관계자는 다운로드 경로의 불법성 여부에 대해서는 “확인은 됐다”면서도, 불법인지 여부에 대해서는 “따로 (확인)해드릴 수는 없을 것 같다”며 답변을 회피했다.

해당 영화를 다른 직원과 함께 시청했는지 여부 역시 “그렇지 않다”고 말하면서, 해당 PC가 외부망 공용 PC이므로 내부망에 영향이 없다고, 잠재적 위험 가능성을 일축했다.

특히 경찰 조사 및 유출 여부와 관련해 “조사를 받은 사실은 없으며, 직접 고소하거나 수사받은 내용도 없다”고 밝혔다.

금융당국 보고 이행 여부 역시 망분리를 이유로 “전자금융감독규정에 해당되는 사항이 아니기 때문에 따로 보고를 한 건 없고 유선상으로 전화 확인 정도”만 진행했다고 설명했다.

일부 언론사의 최초 보도 후 기사가 삭제된 정황에 대해 신한캐피탈 관계자는 “회사 차원의 보안 이슈가 아니라는 설명을 듣고 기자들이 자체적으로 판단하여 기사를 삭제한 것이며, 은폐 의혹은 없다”고 해명했다.

이번 사건은 금융사 보안 책임자가 내부망이 아닌 외부망 공용 PC에서 사적 자료를 다운로드하는 과정에서 배급사 경고를 통해서야 적발됐다는 점에서, 금융기관 내부 관리 체계의 한계를 드러냈다는 점에서 주목된다.