윤병운 NH투자증권 대표

새벽 시간, 내 자산을 확인하려 켠 증권사 앱에 생전 처음 보는 타인의 신용정보가 뜬다면 어떨까. 이런 황당한 보안 사고가 NH투자증권에서 실제로 벌어졌던 사실이 뒤늦게 드러났다. 

개발 단계에서 가장 기초적인 '잠금장치'를 빠뜨려 고객 정보가 줄줄 새 나갔고 테스트용 웹페이지는 2년 넘게 누구나 들어갈 수 있는 공개 서버에 방치돼 있었다.

금융감독원이 15일 전자금융거래의 안전성을 심각하게 훼손한 NH투자증권에 대해 '기관주의' 제재와 함께 과징금 5억 원, 과태료 5600만 원을 부과했다. 관련 임직원 5명에게도 견책과 주의 등 무더기 징계를 내렸다.

NH투자증권 홈페이지

황당한 2시간 26분...앱에서 다른 사람 신용정보가 떴다

사건은 2021년 1월 22일 새벽으로 거슬러 올라간다. 00시 03분부터 02시 29분까지 2시간 26분 동안 NH투자증권 모바일 앱 화면에 엉뚱한 정보가 나타났다.

내 정보가 보여야 할 자리에 다른 사람의 신용정보가 뜬 것이다. 당시 앱 접속 고객 451명의 개인신용정보 934건이 다른 고객 762명에게 고스란히 노출됐다. 금융사 신용이 추락하는 순간이었다.

원인은 어처구니없을 정도로 단순했다. 2020년 8월부터 12월까지 프로그램을 개발하는 과정에서 '타인 정보 조회 방지'(조회 요청 시 본인이 아닌 다른 고객의 정보가 뜨지 않도록 막는) 기능을 누락한 채 시스템을 설정한 것이다.

IT 시스템 개발의 원칙인 '기밀성 테스트'도 건너뛰었다. 시스템 간 응답 대기 시간 차이로 엉뚱한 데이터가 전달될 오류 가능성을 점검했어야 했는데 이를 하지 않았다. 충분한 테스트 없이 고객 정보를 다룬 것으로 안전 불감증이 빚어낸 사태였다.

NH투자증권

외부인이 테스트 페이지에 접속?...2년 넘게 뚫린 뒷문

웹서버 관리도 엉망이었다. 금융회사는 해킹 등을 막기 위해 공개용 웹서버에는 서비스에 꼭 필요한 기능만 남겨두고 불필요한 시험·개발 도구는 제거하거나 접근을 막아야 한다.

그럼에도 NH투자증권은 2022년 2월 ~ 2024년 6월 2년 넘게 공개용 웹서버에 '모바일 홈페이지 테스트용 웹사이트'를 버젓이 구축해 운영했다. 

불특정 다수의 외부인이 테스트 페이지는 물론, 샘플 파일이나 백업 파일까지 자유롭게 드나들 수 있는 환경이 만들어진 것이다.