인쇄회로기판(PCB) 전문업체 심텍이 랜섬웨어 해킹 공격을 당해 내부 데이터가 유출된 정황이 포착됐다.

17일 정보기술(IT) 업계에 따르면 국제 랜섬웨어 해킹단체 언더그라운드(Underground)는 전날 다크웹을 통해 심텍의 내부 자료를 탈취하는 데 성공했다고 주장했다. 언더그라운드는 지난 10월 일본 전자 기업 '카시오'를 해킹해 시스템 장애를 일으키고 200기가바이트(GB)가 넘는 주요 데이터를 탈취한 악명 높은 랜섬웨어 해킹단체다.

언더그라운드 측은 해킹의 증거로 다크웹을 통해 745GB에 달하는 심텍 내부 자료 목록을 공개했다.

해커가 공개한 자료 목록엔 △CEO보고서 및 이사회 자료 △제품 테스트 및 결함 정보 △타 기업과의 계약서 △예산 및 재무 자료 △개발 이력 시트 △애플(Apple) 파트너십 문서 등 주요 자료가 포함됐다. 또 △여권 사진 △은행 계좌 번호 △고용 계약 △징계 기록 등 임직원 개인정보로 추정되는 자료도 다수 확인됐다.

랜섬웨어는 피해자의 데이터 등을 잠그고 '몸값(Ransom)'을 지불하지 않으면 데이터를 손상시키거나 기밀 자료를 유출하겠다고 협박하는 악성코드(Malware)의 일종이다. 다만 언더그라운드 측은 공개적으론 해킹 시점이나 협상 기일 등을 공개하진 않았다.

심텍은 랜섬웨어 감염이나 해킹 피해와 관련해 홈페이지 등에 별도의 공지사항을 게시하지 않고 있다. 다만 익명의 소셜미디어(SNS)에서는 심텍이 지난 10월 해킹 공격으로 금전 협박을 받고 있다는 주장이 제기됐다는 점에서, 회사가 해커와의 협상에 응하지 않았을 가능성도 제기된다.

아울러 임직원의 개인정보로 추정되는 자료도 다수 확인됐다는 점에서, 2차 피해가 발생할 우려도 제기된다. 만약 언더그라운드 측이 올린 데이터가 사실이라면 회사는 개인정보 유출과 관련해 개인정보보호위원회 등 소관부서에 신고할 의무가 있다. 이는 개인정보 유출로 인해 발생할 수 있는 보이스피싱, 온라인 사기 등의 2차 피해를 최소화하기 위함이다.

심텍의 개인정보처리방침에 따르면 회사는 내부직원의 △이름 △가족사항 △주소 △이메일 △연락처 △학력 △근무경력 △자격증 △증명사진 △주민등록번호 △운전면허번호 △여권번호 △차량번호 등의 개인정보를 수집하고 있다. 또 제품 등을 공급하기 위해 외부고객의 △이름 △연락처 △주소 △이메일 △계좌번호 △차량번호 △주민번호 등 고유식별번호도 보관된다.

다만 17일 심텍의 개인정보보호책임자(CPO)로 지정된 관계자들은 각각 "관련해서는 드릴 말씀이 없다", "아는 내용이 없다"라는 입장을 밝히고 있는 상황이다.

이번 보안 사고가 사실로 확인될 경우 회복세에 접어든 심텍의 실적 및 주가에도 악영향을 미칠 것으로 전망된다. 심텍은 지난해 반도체 경기 침체로 매출 1조419억원, 영업손실 881억원을 기록했다. 다만 올해 2분기부터는 반도체 업황 반등에 따라 영업이익이 흑자로 전환하며 회복세를 보이고 있었다.

한편 심텍은 지난달 21일 개인정보처리방침 중 '개인정보의 처리 및 보유기간' 항목을 일부 개정한 것으로 확인됐다. 앞서 심텍은 내부직원 개인정보를 퇴사 후 경력 증명 용도로 영구 별도 보관한다고 규정했으나, 이를 법령상 의무 보유기간에 해당하는 기간으로 변경한 것이다.

개인정보보호법에 따르면 퇴사한 직원의 개인정보는 퇴사 후 3년 동안만 보관해야 하며, 별도 보관할 필요가 있는 경우 근로자에 동의를 받아야 한다. 만약 심텍이 내부 직원의 개인정보를 영구적으로 보관했다면, 퇴사한 임직원의 개인정보 또한 유출됐을 가능성도 간과할 수 없을 것으로 보인다.