iM금융 뉴지스탁, 4만명 정보 유출 '4달간 깜깜이'…내부통제 '구멍'
iM금융그룹의 핀테크 계열사 뉴지스탁에서 4만 2700여 명의 고객 개인정보가 유출된 사실이 뒤늦게 확인됐다. 특히 해킹 발생 이후 4개월 동안 유출 사실조차 인지하지 못한 것으로 드러나, 금융그룹 계열사로서의 보안 관리 체계와 내부통제 부실에 대한 비판을 피하기 어려워 보인다. 16일 iM금융그룹에 따르면, 이번 유출 사고는 지난 3월 3일 내부 직원이 해커가 발송한 피싱 이메일을 열람하면서 시작됐다. 뉴지스탁이 이 사실을 인지한 것은 지난 8일 수사기관의 통보를 받으면서다. 현재까지 유출이 확인된 개인정보는 ▲회원 구분(일반 이용자/강사) ▲아이디 ▲닉네임 ▲회원번호 ▲최근 접속일 ▲회원 가입일 ▲접속 상태 ▲가입 경로 등이다. 회사 측은 이메일, 휴대전화 번호, 비밀번호 등 민감 정보는 유출되지 않았으며, 현재까지 개인정보 도용이나 악용 등의 추가 피해 사례는 확인되지 않았다고 해명했다. 그러나 보안 업계의 시선은 싸늘하다. 해킹 경로가 간단한 '이메일 피싱'에 당했기 때문이다. 게다가 뉴지스탁은 지난 2022년에도 이용자 연락처 등 개인정보가 유출된 사고가 있었다. 금융당국의 내부통제 강화 기조 속에서 발생한 이번 사고로 인해 iM금융그룹 전반의 브랜드 신뢰에 타격은 불가피할 전망이다. 앞서 지난달 29일 금융감독원은 '2026년 상반기 은행권 내부통제 워크숍'을 열고 금융사고 예방을 위한 내부통제 조직문화 정착을 강조한 바 있다. 황석진 동국대 국제정보보호대학원 교수는 “해커가 심어놓은 악성코드 이메일을 임직원이 열어 감염된 전형적인 지능형 지속 위협(APT) 공격 패턴”이라며 “회사 측이 이를 장기간 인지하지 못한 것은 해커가 보안 솔루션의 탐지를 피하기 위해 소량의 데이터를 장기간에 걸쳐 미세하게 유출했기 때문으로 보인다”고 분석했다. 이어 "단순히 정보보안 부서뿐만 아니라 전 임직원을 대상으로 한 실전형 보안 교육과 모니터링 강화가 시급하다"고 덧붙였다. 뉴지스탁은 개인정보보호법에 따라 한국인터넷진흥원(KISA)과 개인정보보호위원회에 신고를 마쳤으며, 금융감독원에도 해당 사실을 보고했다. 뉴지스탁 관계자는 “전체 관리자 계정과 접근 권한 점검, 관리자 PC 및 서버 보안 점검, 피싱 메일 차단 등 긴급 보완 조치를 완료했다”며 “피해 고객을 위한 보상안을 논의 중이며, 향후 구체적인 재발 방지 대책과 전사적 보안 교육을 실시할 것”이라고 밝혔다.