침해사고/위협동향

지지부진한 이랜드그룹 카드정보 유출 논란··· 결과는 언제쯤?

이종현
클롭의 다크웹 홈페이지. 27일 기준 90만건의 카드정보가 공개됐다.
클롭의 다크웹 홈페이지. 27일 기준 90만건의 카드정보가 공개됐다.
[디지털데일리 이종현기자] 이랜드그룹이 사이버 공격을 받아 고객 카드정보가 유출됐다는 논란이 사그라들지 않고 있다. 공격을 감행한 해커조직 ‘클롭(CL0P)’이 이랜드로부터 훔쳤다는 카드정보를 공개하고 있는데 해당 정보가 실제 이랜드로부터 훔쳐졌는지에 대한 발표는 이뤄지지 않고 있기 때문이다.

사건의 발단은 지난 11월 22일 이랜드의 사내 네트워크 시스템이 랜섬웨어 공격을 받은 것이다. 이 공격으로 인해 점포의 판매시점관리시스템(POS)이 마비됐고 엔씨(NC)백화점, 뉴코아아울렛 등 이랜드가 운영하는 오프라인 점포의 운영에 차질이 발생했다.

이랜드를 공격한 곳은 러시아 해커조직 클롭이다. 클롭은 랜섬웨어 공격과는 별개로 이랜드의 고객 카드정보 약 200만건을 훔쳤다며 이랜드 측에 금전을 요구했다.

이에 대해 이랜드는 “해커와의 협상은 없다”는 공식 입장을 밝혔다. 또 랜섬웨어로 인해 차질을 빚은 시스템과 고객의 정보를 저장하는 시스템은 별개로 암호화해 관리하기 때문에 정보 유출 가능성이 없다고 일축했다. 해커조직이 블러핑(Bluffing)을 한다는 주장이다.

이랜드가 협상에 응하지 않자 클롭은 3일부터 다크웹의 홈페이지를 통해 이랜드로부터 훔쳤다는 카드정보를 유출하기 시작했다. 한 번에 10만건씩, 27일 기준 90만개의 카드정보가 다크웹에 노출됐다. 해당 정보는 다크웹의 홈페이지 주소만 안다면 누구나 열람할 수 있는 형태다.

막대한 카드정보가 공개되고 있지만 해당 카드정보가 이랜드로부터 유출됐는지는 확인되지 않은 상태다. 가해자와 피해자가 서로 ‘훔쳤다’, ‘훔쳐지지 않았다’는 상반된 주장을 하고 있는 것.

이와 같은 상황에서 금융당국이나 정부가 해당 사태를 수수방관하고 있다는 비판이 제기됐다. 이랜드의 피해가 사실인지 아닌지를 판별하고 대책을 마련해야 하는데 그런 움직임이 없다는 지적이다.

해당 사건에 대한 정부 기관의 발표는 금융위원회가 지난 9일 최초 공개된 10만건의 카드정보 데이터를 바탕으로 조사 결과를 발표한 것이 전부다. 금융위원회는 10만건 유출 당시 유효 카드정보는 약 3만6000건이고 과거 불법유통 등이 확인된 2만3000건이라고 밝혔다. 1만3000건은 불법유통이 확인되지 않은 유효 카드정보였다.

금융위의 발표에 한 보안 전문가는 “10만건 중 13% 만이 불법유통되지 않은 신규 카드정보인데, 이를 근거로는 이랜드로부터 유출된 정보인지 파악하기 어렵다”며 “추가 유출된 정보를 분석하면 모집단이 늘어난 만큼 이랜드의 고객 정보인지 판가름하기 수월해질 것”이라고 말했다.

하지만 피해 최초 10만건 이후 80만건의 카드정보 유출이 있을 동안 해당 카드정보에 대한 추가 분석 결과는 발표되지 않고 있다. 불안한 소비자는 그저 기다리고 있을 수밖에 없는 상황이다.

이랜드의 카드정보 유출이 맞다면 이랜드는 유출 사실을 정보주체에게 전달해야 한다. 개인정보보호법에는 ‘개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체없이 해당 정보주체에게 사실을 알려야 한다’고 명시하고 있다.

문제는 이번 사고를 진두지휘할 기관이 보이지 않는다는 점이다.

유출된 정보의 성격이 ‘신용정보’인 만큼 신용정보법에 따라 금융위원회가 나서서 피해 내용을 발표하다 보니 금융위원회가 해당 사건의 주무부처로 보이는 경향이 있다. 하지만 금융위원회는 신용정보를 취급하는 ‘금융회사’를 관리·감독하는 기구다. 이랜드의 고객정보는 ‘개인정보’이고 이는 개인정보보호위원회(이하 개인정보위)가 관리·감독하는 영역이다. 카드정보가 유출된 만큼 금융위도 관계부처이긴 하나 ‘이랜드 해킹’의 주무부처라고 보기는 어렵다.

동시에 개인정보위의 역할이라고 말하기도 애매하다. 해킹과 같은 사이버 공격은 과학기술정보통신부(이하 과기정통부) 등의 관할이다. 개인정보위는 만일 유출이 사실로 확인될 경우 이후에 대한 사후조처를 취하게 된다.

보안업계 관계자는 “많은 양의 카드정보가 계속해서 유출되고 있지만 해당 정보가 실제 유출론 인한 것인지, 아니면 이미 유출됐던 정보를 짜깁기한 것인지조차 파악이 되지 않고 있다”며 “유출이 사실이라면 재발 방지를 위해, 사실이 아니라면 괜한 불안감이 조성되지 않도록 발표가 필요하다”고 전했다.

한편 금융위는 앞선 발표에서 “유출이 확인된 카드는 각 금융회사가 소유자에게 피해 사실을 안내하고 있다. 유출된 카드정보로 인해 피해가 발생할 경우 관련 법령에 따라 피해 전액을 금융회사가 보상한다”고 안내했다. 이로 인해 카드정보 유출로 인한 소비자의 직접적인 피해는 없을 전망이다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널