랜섬웨어 조직이 데이터 공개 이후에도 늦장 대처
골프존 회원이 480만 명에 달하는데도 정보보호에 소홀
국내 최대 스크린 골프 업체인 골프존이 랜섬웨어 공격을 받고 개인정보가 유출됐으나 이를 감춰왔다는 논란에 휩싸였다. 늦장 대처하는 동안 골프존 회원들이 갑자기 많은 피싱 메일을 받은 것으로 드러나 피해를 키운 것 아니냐는 비난이 커지고 있다.
 |
| ▲ 픽사베이 |
11월 23일 랜섬웨어 공격으로 5일 동안 장애 발생
골프존이 랜섬웨어의 공격을 받은 것은 지난 11월 23일이었다. 웹사이트와 애플리케이션 등이 마비돼 가맹점과 이용자들이 큰 불편을 겪었다. 이후 5일 동안 장애가 이어지다가 27일 이후 순차적으로 복구됐다. 당시 골프존은 개인정보 유출은 없었다고 밝혔다.
그러나 3주가 지난 12월 14일 개인정보 유출 사실을 인정했다. 공식 홈페이지에 정보유출 사실을 공지하고 회원에게도 이를 알리는 문자 메시지를 발송했다. 골프존은 전문 해커로 추정되는 공격자에 의해 랜섬웨어 공격을 받아 고객의 일부 정보가 유출됐다고 밝혔다. 그러면서 일부 회원의 이름과 휴대전화 번호가 유출된 것으로 파악됐다고 덧붙였다.
개인정보 유출됐을 정황도 무시한 것으로 보여
그러나 랜섬웨어 공격을 받은 초기부터 개인정보가 유출됐을 가능성에 대한 지적이 있었다. 최근의 랜섬웨어 공격은 단순히 데이터를 암호화해 시스템을 먹통으로 만드는데 그치지 않고 데이터를 훔쳐가는 것이 일반적이라는 지적이 초기부터 제기된 것이다.
정황상으로도 정보유출을 짐작할 소지가 있었다. 랜섬웨어 공격을 받은 11월 23일 이후 골프존 회원들을 대상으로 피싱 문자가 대거 발송됐다. 골프존을 사칭해 서비스 장애를 입은 회원에게 골프존 주식 3주( 27만 원 상당)를 선물로 준다는 내용이었다. 그럼에도 골프존은 해당 피싱 메일이 무작위로 발송된 것이라면서 개인정보 유출 가능성은 부인했다.
탈취 데이터 공개 이후 6일이 지나서 정보유출 시인
그런데 지난 8일 골프존을 공격한 것으로 보이는 랜섬웨어 조직 BLACK SUIT는 자신의 데이터 유출 사이트에 골프존의 데이터를 공개했다. 압축파일로 업로드된 골프존의 데이터는 539기가바이트(GB)에 이른 방대한 물량인 것으로 나타났다.
이에 대해 전문가들은 랜섬웨어 조직과 골프존 사이에 협상이 결렬되자 랜섬웨어 조직이 탈취한 데이터를 공개한 것으로 해석했다. 그런 일이 있고도 6일 후인 지난 14일에서야 골프존은 개인정보 유출 사실을 시인한 것이다.
 |
골프존의 늦장 대처가 피해를 키웠을 가능성
골프존의 개인정보 유출은 두 가지 점에서 아쉬움이 남는다. 첫 번째는 늦장 대응의 문제다. 그동안의 과정을 보면 골프존이 개인정보 유출 사실을 인지한 것은 아무리 늦춰 잡아도 랜섬웨어 조직이 데이터를 공개한 12월 8일이다.
개인정보보호법은 사업자가 개인정보의 분실이나 도난·유출 사실을 알게 됐을 때 바로 해당 주체에게 알려야 하고 한국인터넷진흥원에 72시간 이내 신고하도록 규정하고 있다. 현재 골프존의 개인정보 유출 사고는 개인정보보호위원회가 조사에 착수했으니 법이나 규정 위반 여부는 차차 밝혀질 것으로 보인다.
골프존 정보보호 투자, 매출의 0.3%에 불과
두 번째 문제는 골프존이 개인정보 보호에 애초부터 크게 관심이 없었던 것 아니냐는 것이다. 골프존의 회원은 2021년 376만 명에서 2022년 436만 명으로 늘었고 올해는 480만 명에 이르는 것으로 집계됐다. 우리나라의 골프 인구가 공식적으로 525만 명인 것을 감안하면 골프 인구 10명 중 9명은 골프존의 회원이라는 얘기다. 이렇게 방대한 회원들의 개인정보를 관리하면서 정보보호에는 소홀한 것으로 나타났다.
골프존의 2022년 매출은 5666억 원이고 영업이익은 1499억 원에 달했다. 그러나 정보보호에 투자한 돈은 20억5000만 원에 불과했다. 매출의 0.3%, 영업이익의 1.3%에 그친 것이다. 특히 정보기술 부문 투자액 422억 원에 비해서도 4.9%에 불과했다.
골프존 정보보호 인력의 절반은 외주업체 소속
또 정보보호 전담 인력을 보더라도 골프존이 정보보호를 얼마나 등한시했는지 알 수 있다. 정보기술 부문 인력은 310명인데 비해 정보보호를 전담하는 인력은 3.6%인 11명에 그쳤다. 그 가운데서도 내부인력은 2021년 7.8명에서 2022년에는 5.8명으로 줄었다. 대신 외부인력은 1.3명에서 5.4명으로 늘린 것으로 나타났다. 정보보호 인력의 거의 절반이 외주업체 소속이었다는 얘기다.
정보보호 업무를 맡는 직원들의 회사 내 위상도 크게 낮아진 것으로 나타났다. 2021년에는 정보보호 책임자가 임원급이었으나 2022년에는 팀장급으로 지위가 낮아진 것이다.
개인정보가 유출될 경우 신속히 차단하지 않으면 2차 피해를 막을 수 없다. 이번처럼 개인의 이름과 휴대폰 번호가 유출된 경우 이를 활용한 스팸 문자는 물론이고 문자 메시지를 이용해 휴대전화를 해킹하는 스미싱이나 보이스피싱 등의 2차 피해로 이어지기 마련이다. 개인정보를 다루는 기업들의 경각심을 높이기 위해서라도 이번 골프존의 개인정보 유출에 대해서는 철저한 조사와 처벌, 그리고 대책이 마련돼야 할 것이다.
KPI뉴스 / 김기성 대기자 bigpen@kpinews.kr
[ⓒ KPI뉴스. 무단전재-재배포 금지]
