[오늘의 보안 동향] 대부업도 해킹 당했다…리드코프 자회사, 고객 신용정보 유출

국내 대부업계 1위 리드코프의 100% 자회사 앤알캐피탈대부가 해킹공격으로 고객 39명의 개인정보 및 신용정보 대량 유출
직원이 비인가 프로그램을 설치하는 과정에서 악성코드에 감염되어 해커가 서버에 접속한 것으로 파악됨
유출된 정보는 집·직장·휴대폰 전화번호, 주소, 직장명, 입사일, 연수입 등 개인정보와 신용등급·점수, 대출신청금액·승인금액, 거래은행 및 계좌번호 등 민감한 신용정보 포함
금융감독원이 지난 12일부터 현장검사를 진행 중이며, 포렌식을 통해 정확한 유출범위와 대상 파악 중
개인정보보호위원회 산하 한국인터넷진흥원에 침해사고를 접수했으며, 위법사실 확인 시 제재 및 수사기관 의뢰 예정
개보위 의무신고 최소건수(1000건 이상)를 고려하면 실제 피해는 수만 건에 달할 가능성이 있음
모회사 리드코프는 네트워크 분리로 신용정보 유출피해가 없으나, 2금융권 대부업체의 근본적 보안 강화 대책이 시급함

<용어 및 프로그램 설명>

해킹(Hacking): 컴퓨터 시스템에 무단으로 접근하여 정보를 탈취하거나 시스템을 조작하는 불법 행위입니다.

악성코드(Malware): 컴퓨터나 네트워크에 침입하여 데이터를 손상시키거나 정보를 탈취하는 악의적인 프로그램입니다.

포렌식(Forensics): 해킹 사건의 원인, 경로, 피해 범위를 과학적으로 조사하고 분석하는 기술입니다.

신용정보: 개인의 신용등급, 신용점수, 대출 이력, 거래 은행 계좌 등 금융 거래 기록입니다.

네트워크 분리(Network Segmentation): 중요한 시스템을 별도 네트워크에서 독립적으로 운영하여 보안을 강화하는 기법입니다.

비인가 프로그램(Unauthorized Program): 기업의 승인 없이 설치된 정상적이지 않은 소프트웨어를 의미합니다.

다크웹(Dark Web): 특정 프로그램으로만 접속할 수 있는 비공개 네트워크로, 불법 거래 및 정보 유통의 온상입니다.

2금융권(Secondary Financial Sector): 은행 외 대부, 보험, 증권 등 비은행 금융기관으로, 일반적으로 보안수준이 낮습니다.

개인정보보호위원회(PIPC): 개인정보 침해사건을 조사·처리하는 정부기관입니다.

금융감독원(FSC): 금융기관의 건전성과 소비자 보호를 감시하는 금융 규제기관입니다.

<출처 및 원본 문서>

출처: 머니투데이(Money Today) 기자: 권화순, 김도엽 원본 URL: https://news.nate.com/view/20260323n00615 보도 일자: 2026년 3월 23일

[단독]대부업도 해킹 당했다…리드코프 자회사, 고객 신용정보 유출 : 네이트 뉴스

 

<원문 본문>

국내 대부업계 1위 리드코프의 100% 자회사 앤알캐피탈대부가 해킹공격을 받아 고객정보가 대량으로 유출됐다. 집·직장·휴대폰 등 전화번호와 직장명, 주소, 연수입 등 개인정보뿐 아니라 신용점수와 대출내역, 거래은행 계좌번호 등 민감한 신용정보까지 유출돼 소비자 피해가 예상된다.

금융권에서는 지난해 롯데카드, 서울보증보험 등에 이어 이번엔 보안수준이 취약한 대부업체까지 해커들의 무차별 공격을 받아 근본적인 대책이 필요하다는 지적이 나온다.

22일 금융당국 등에 따르면 금융감독원은 지난 12일부터 중소형 대부업체 앤알캐피탈대부의 해킹사고와 관련해 현장검사를 진행 중이다. 금융보안원이 이달 초 해킹정보가 거래되는 다크웹(특정 프로그램으로만 접속되는 비밀사이트)에서 앤알캐피탈 고객 39명의 정보가 해킹된 사실을 확인하고 이를 금감원에 보고한 데 따른 것이다.

금감원은 앤알캐피탈대부 고객의 개인정보와 신용정보가 대거 유출된 것을 확인하고 포렌식(데이터복원) 등을 통해 정확한 유출범위와 대상을 파악 중이다. 유출된 정보는 이름과 집·직장·휴대폰 등의 전화번호, 주소, 직장명, 입사일, 연수입 등 개인정보와 함께 신용등급 및 점수, 대출신청금액과 승인금액, 거래은행 및 계좌번호 등으로 확인됐다.

앤알캐피탈대부 직원이 PC에 비인가 프로그램을 설치하는 과정에서 악성코드에 감염됐고 감염된 PC로 해커가 서버에 접속한 것으로 금감원은 보고 있다. 앤알캐피탈대부는 정보유출이 확인된 고객 39명에게 우선 사실관계를 통지했다.

아울러 개인정보보호위원회(이하 개보위) 산하 한국인터넷진흥원에 침해사고가 발생한 사실을 접수했다. 개인정보와 신용정보가 1000건 이상 유출된 사고가 발생하면 관련법상 개보위와 금융당국에 사실관계를 신고하도록 돼 있어서다.

금융당국 관계자는 "현재 검사를 진행 중으로 정확한 유출범위와 대상은 추가 조사를 해야 알 수 있다"며 "검사결과에 따라 위법사실이 확인되면 앞으로 제재와 수사기관 의뢰 등을 검토할 것"이라고 말했다. 개보위 의무신고 최소건수가 1000건 이상인 만큼 피해건수가 많게는 수만 건이 될 수 있다는 추정이 나온다. 특히 대출을 받은 고객의 정보뿐 아니라 상담만 받은 고객의 정보까지 유출됐을 가능성도 거론된다. 대부업체는 상담고객의 정보를 일정기간 안에 삭제(해제)해야 하기 때문에 관련법을 위반했을 가능성도 제기된다.

지난해말 기준 총자산 1022억원인 앤알캐피탈대부는 국내 대부업계 1위사이자 상장사인 리드코프의 100% 자회사다. 2005년 설립된 중소형 대부업체다. 금융당국 관계자는 "모회사인 리드코프와는 네트워크가 분리돼 모회사는 신용정보 유출피해가 발생하지 않을 것"이라며 "대부업체 전반의 정보보안 실태를 파악하고 내부통제의 실효성을 높이는 방안을 마련할 계획"이라고 말했다.

금융권에서는 서울보증보험, 롯데카드, GA(보험대리점) 등에서 지난해 잇따라 해킹사고가 발생한 가운데 '약한 고리'인 대부업체도 무방비로 노출됐다는 우려가 나온다. 자본력이 약한 2금융권이나 대부업체의 경우 보안수준이 취약한 반면 개인정보와 신용정보를 대량으로 보유해 근본적인 대책이 시급하다는 지적도 있다. 실제 외부에 드러나진 않았지만 최근 소규모 신용정보회사 및 자산운용사 등에서도 해킹사고가 빈번한 것으로 전해졌다.

금융권 관계자는 "대형 금융회사는 자체인력이나 외부업체 등을 통해 정보보안을 대폭 강화했지만 2금융권이나 대부업은 무방비로 노출돼 해커들의 집중공격 대상이 된다"며 "과징금이나 제재수준을 대폭 상향하더라도 이들 영세업체는 사고가 나면 폐업하고 결국 피해는 고스란히 정보가 유출된 고객에게 돌아갈 수밖에 없다"고 말했다.