삼양그룹의 계열사인 삼양패키징 주주들의 민감 개인정보가 수년째 다크웹에 방치돼 있었다는 사실이 뒤늦게 알려졌다. 회사는 랜섬웨어 공격으로 데이터 유출 사고가 발생한 것은 알고 있었으나, 유출된 데이터에 민감 개인정보가 포함됐다는 사실은 인지하지 못했단 입장이다.

삼양그룹 계열사의 데이터를 유출한 랜섬웨어 해킹 단체는 '록빗 3.0'이다. 록빗3.0은 2019년 첫 등장한 이래로 피해기업 2000곳으로부터 약 1600억원을 갈취하는 등 전 세계서 가장 많은 피해를 발생시켜 왔다.

록빗3.0은 지난 2022년 10월 삼양그룹 내부데이터로 추정되는 파일 2테라바이트(TB)를 다크웹에 게시했다. 삼양그룹에 따르면 록빗3.0은 2022년 9월 회사 내부 전산망에 침입해 랜섬웨어를 유포하고 일부 내부 정보를 유출했으며, 이후 기업이 협상에 응하지 않자 탈취한 데이터를 다크웹에 공개했다.

문제는 록빗3.0이 공개한 데이터엔 수천 건에 달하는 삼양패키징 주주들의 △이름 △전화번호 △주소 등 민감 개인정보가 포함돼 있었단 점이다.

개인정보보호법에 따르면 정보통신서비스제공자는 개인정보 유출 사고가 발생했을 경우 이를 인지한 후 72시간 내 개인정보보호위원회에 신고하고, 해당 정보주체에 홈페이지 공지사항이나 문자 메시지 등으로 통지해야 할 의무가 있다. 이는 개인정보 유출로 인해 발생할 수 있는 보이스피싱, 온라인 사기 등의 2차 피해를 최소화하기 위함이다.

하지만 삼양그룹은 랜섬웨어 피해로 인해 내부 데이터가 공개됐단 사실을 인지하고도, 2년여 동안 주주들의 개인정보가 다크웹에 노출된 것은 파악하지 못한 것으로 확인됐다.

삼양그룹 및 계열사인 삼양패키징은 랜섬웨어 피해 이후 홈페이지 등에 어떠한 공지도 하지 않았기에, 개인정보 유출 당사자는 2차 피해 위험에 고스란히 노출된 상황이다.

삼양그룹 관계자는 "어떤 정보들이 유출됐는지는 기록이나 흔적이 남지 않아 파악이 불가능했고, 시스템에 있는 정보들도 자체 암호화돼 있기 때문에 외부에서 오픈은 어려울 것으로 추정했다"라며 개인정보 유출을 인지하기 어려웠다고 주장했다.

이어 "사건 이후 록빗3.0 단체는 체포돼 사이트가 폐쇄됐기에 2년 넘게 방치됐다는 점은 맞지 않다"라고 말했다.

하지만 회사 측의 설명은 사실과 거리가 있다. 삼양그룹이 관련된 록빗3.0의 사이트는 올해 2월20일에야 국제 수사기관들의 공조를 통해 폐쇄됐다. 더군다나 체포되지 않은 록빗3.0 구성원들은 곧장 새로운 다크웹 접속 사이트를 공개하며 활동을 재개했다. 록빗3.0의 활동이 중단된 시기는 약 5일에 불과하다.

삼양그룹은 개인정보 유출 사실을 계열사인 삼양패키징 홈페이지에 게시하고, 정보가 유출된 개인에 개별적으로 메일과 우편 보내 피해 사실을 알릴 예정이다. 관계자는 "개인정보보호위원회에 신고하고 필요한 사항을 실행해 나갈 것"이라며 "이번 기회에 다시 한번 보안시스템에 문제는 없는지 점검함과 동시에 지속적인 보안 강화를 해 나갈 방침"이라고 전했다.