개인정보보호위원회가 최근 여러 자산운용사에서 발생한 대규모 개인정보 유출 사건에 대해 본격적인 수사에 돌입했다고 23일 발표했다. 이번 사건은 전산설비 서비스 업체인 지제이텍을 통해 연쇄적으로 발생한 것으로 확인됐다.

해당 자산운용사들은 지제이텍이 제공하는 파일서버 서비스를 활용하던 중 악성 소프트웨어 감염과 함께 직원 개인정보 등 민감한 내부 데이터가 외부로 노출된 사실을 확인한 후 당국에 즉시 신고했다. 지제이텍은 국내 자산운용업계와 금융기관을 대상으로 IT 인프라 및 전산 관련 서비스를 전문적으로 제공하는 기업으로, 업계 대부분의 자산운용사가 이 회사의 서비스를 이용하고 있는 것으로 파악되고 있다.

금융당국의 조사에 따르면, 이번 해킹 사건의 피해를 입은 자산운용사는 최소 20개소 이상으로 추정된다. 마제스티자산운용, 벤코어인베스트먼츠자산운용을 비롯해 어썸자산운용, 멜론자산운용, 에이펙스자산운용, 클라만자산운용 등 다수의 중소형 사모펀드 운용사들이 피해 명단에 포함된 것으로 확인됐다.

이번 사이버 공격의 배후로는 국제 악성코드 조직 '킬린(Qilin)'이 지목되고 있다. 이 조직은 이달 초 지제이텍의 시스템에 침투해 데이터를 암호화하고 금전을 요구하는 방식의 공격을 감행한 것으로 조사됐다. 킬린 측은 다크웹을 통해 유명 정치인과 기업인을 포함한 고객 데이터를 확보했다고 주장하고 있으나, 이에 대한 정확한 사실 여부는 아직 확인되지 않은 상태다.

어썸자산운용은 지난 12일 자사 홈페이지를 통해 파일서버의 악성코드 감염 사실을 공개하며 고객들에게 사과의 뜻을 전했다. 해당 업체는 감염 사실을 인지한 즉시 금융당국과 한국인터넷진흥원에 상황을 보고했다고 밝혔다.

다행히 현재까지 자산운용사 고객들의 핵심적인 금융정보나 신용정보 유출은 확인되지 않았다고 금융당국은 설명했다. 대형 자산운용사들의 경우 이번 사건과 직접적인 연관성이 없는 것으로 파악되고 있으나, 향후 조사 과정에서 피해 규모가 더욱 확대될 가능성도 배제할 수 없는 상황이다.

개인정보보호위원회는 지제이텍을 중심으로 구체적인 정보 노출 경로와 피해 범위, 보안조치 이행 여부 등에 대해 철저한 조사를 진행할 계획이라고 밝혔다. 위원회 관계자는 "최근 들어 몸값 요구형 악성코드를 활용한 개인정보 침해 사고가 지속적으로 증가하고 있다"며 "각 사업자들은 시스템 보안 취약점 검토와 정기적인 보안 업데이트, 핵심 데이터의 분리 보관 등 보안 관리 체계 강화에 더욱 주의를 기울여야 한다"고 강조했다.