사진=골프존
사진=골프존

해킹을 당해 221만명이 넘는 고객의 개인정보를 유출한 골프존이 역대급 과징금을 물게 됐다. 그런데 문제는 ‘정보 유출’ 뿐만이 아니다. 일어난 사고를 수습하는 과정에도 물음표가 달린다.

역대 최대 과징금 부과한 개인정보위

지난 8일 개인정보보호위원회(개인정보위)는 개인정보보호 법규를 위반한 골프존에 대해 총 75억400만원의 과징금과 540만원의 과태료를 부과하고, 동시에 시정명령 및 공표명령을 의결했다고 밝혔다. 지난해 11월 랜섬웨어 공격을 받아 221만명이 넘는 이용자 개인정보를 유출한 책임을 물은 것이다. 이번 처분은 지난해 9월 시행된 개인정보보호법 규정이 적용된 첫 사례로, 개인정보위는 과징금 상한액의 최대 범위인 전체 매출액의 3%를 의결했다.

개인정보위에 따르면 골프존은 지난해 11월 해커에 의한 랜섬웨어 공격을 받았다. 이로 인해 업무망 내 파일서버에 보관된 221만명 이상의 서비스 이용자 및 임직원의 개인정보가 유출됐다. 유출된 개인정보 항목은 △이름 △전화번호 △이메일 △생년월일 △아이디 등이 포함돼 있으며, 일부의 경우 주민등록번호(5831명)와 계좌번호(1647)도 유출됐다.

골프존은 개인정보를 보관하는 과정에서 안전조치 의무를 위반한 것으로 확인됐다. 심지어 전 직원이 사용하는 파일서버에 주민등록번호를 포함한 다량의 개인정보가 저장돼 공유되고 있다는 사실조차 인지하지 못했으며, 가상사설망을 도입하는 과정에서 개인정보 유출 관련 보안위협을 검토하거나 필요한 안전조치를 소홀히 한 것으로 나타났다.

또 골프존은 이용자 주민등록번호나 계좌번호를 서버 내에 보관하면서도 암호화조차 설정하지 않았으며, 탈퇴한 회원이나 퇴사한 임직원의 개인정보도 파기하지 않았던 것으로 확인됐다. 개인정보 관리 실태 부실로 수십만명의 이용자와 임직원을 피싱 등의 위험에 노출시킨 것이다.

고객정보 유출 후 석연찮은 사고수습①

골프존이 해킹 공격을 당한 이후 발송된 스미싱. 사진=온라인 커뮤니티
골프존이 해킹 공격을 당한 이후 발송된 스미싱. 사진=온라인 커뮤니티

문제는 정보 유출뿐만이 아니다. 골프존의 사고 대처도 미흡했다는 목소리가 많다. 랜섬웨어 공격을 받은 사실을 공개하는 시점이 지나치게 늦었고, 다크웹에 피해 데이터가 게시되기 전까지 개인정보 유출 사실을 부인했기 때문이다.

골프존이 주가 방어를 위해 의도적으로 랜섬웨어 피해 발표 시점을 늦췄다는 의혹도 나온다.

랜섬웨어는 피해자의 시스템을 감염시켜 데이터를 암호화하고, 이를 복구하는 대가로 '몸값(Ramsom)'을 요구하는 악성 소프트웨어다. 이에 따라 공격자는 피해자에 '몸값'을 요구하기 위해, 확보한 데이터를 피해자에 통보하는 것이 일반적이다.

하지만 골프존이 해킹 피해 사실을 밝힌 시점은 랜섬웨어 공격으로 서버 운영이 중단된 지 약 35시간이 지난 금요일 오후 8시경으로, 한국거래소 유가증권시장에 상장된 골프존과 지주사 골프존뉴딘홀딩스의 주식 거래시간이 모두 종료된 이후다.

또 일부 이용자의 경우 랜섬웨어 공격을 받은 직후 사기 문자(스미싱)을 수신했던 것으로 알려졌다. 개인정보 유출로 인한 금전 피해가 이미 발생했을 가능성이 제기된 것이다.

당시 이용자들이 수신한 문자에는 '서버 문제로 인한 죄송함을 담아 소수 회원에 골프존 주식 3주(27만원 상당)를 선물로 드리고 있다'라며 회신을 요구하는 내용이 담겼다. 하지만 해킹 피해로 인해 이용자와 임직원의 개인정보가 유출됐음이 확인됐음에도, 골프존은 "스미싱은 무작위로 배포된 것"이라며 개인정보 유출 사고와의 연관성을 부인하고 있다.

고객정보 유출 후 석연찮은 사고수습②

골프존은 고객과 가맹점주를 대상으로 보상을 진행해 온 것으로 알려졌다. 골프존에 따르면 일반 회원 대상으로는 모바일 이용권 3000원을 보상으로 지급했다. 발송액 기준으로는 총 70억원 상당의 규모다. 또 가맹점 경영주와 일반 매장주 대상으로는 하드웨어(가맹 별 투비전NX 및 투비전 시스템 수)당 환급형 마일리지 5만원이라는 보상 기준을 책정했다.

다만 골프존 가맹점 등에서는 골프존이 지급한 보상 규모에 반발하고 있다. 서비스 장애가 약 닷새 동안 지속됐을 뿐만 아니라, 상대적으로 이용 고객이 몰리는 금요일 저녁과 주말이 포함됐지만 보상 금액은 턱없이 작기 때문이다. 골프존은 피해를 증빙할 수 있는 자료를 준비하면 차액분을 지급하겠다고 밝혔으나, 정작 피해 증빙 방법과 가맹본부의 보상 기준은 "내부 정보에 해당한다"라며 공개를 거부하고 있다.

골프존은 지난 2019년 7월에도 자체 운영체제(OS)인 비전과 투비전 전산망 오류로 2시간 20분 동안 서버 오류가 발생해 회원과 가맹점주를 대상으로 보상을 진행했다. 당시 골프존은 각 매장의 영업손실분보다 약 3배 많은 보상금을 지급하겠다고 밝혔다. 하지만 랜섬웨어로 인해 닷새 동안 서비스가 중단되는 사고가 발생하자 역으로 보상 규모를 축소하려 한다는 비판이 나오고 있다.

아울러 개인정보위 조사 결과에 따르면 현재 골프존을 이용하지 않는 비회원의 개인정보도 유출 대상에 포함된 것으로 확인됐다. 골프존의 보상은 회원과 가맹점 등을 대상으로 하기에, 비회원은 별도의 보상을 받을 수 없는 상황이다. 골프존 측은 추가 보상 가능성에 대한 질의에 "기존 입장 외에 답변드릴 내용이 없다"라며 답변을 거부했다.

한편 골프존은 이번 개인정보 유출에 대해 "당사는 개인정보 보호법을 준수하고 정보보안 강화를 위해 2024년 정보보호 추진계획을 수립했다"라며 "이에 따라 올해부터 전년 대비 4배 규모의 정보 보호 투자를 적극적으로 추진하고 있으며, 개인정보보호책임자를 포함한 개인정보 전문인력을 추가 충원해 개인정보 보호 조직체계를 강화하고 있다"라고 전했다.

키워드
#골프존 #랜섬웨어 #개인정보 유출 #개인정보보호위원회 #해킹
저작권자 © 뉴스저널리즘 무단전재 및 재배포 금지
관련기사