[디지털데일리 이종현기자] 골프존이 거짓말 논란에 휩싸였다. 랜섬웨어 감염으로 서비스 장애가 발생했지만 “개인정보 유출은 없다”고 주장했으나 3주 만인 12월14일 개인정보가 유출됐다고 시인했다. 유출된 것은 이름과 휴대전화번호다. 골프존 서비스 장애 이후 급증한 스미싱 등이 유출에 의한 것 아니냐는 지적도 제기되는 중이다.

국내 최대 스크린 골프 기업 골프존은 11월23일 랜섬웨어에 감염돼 웹사이트, 애플리케이션(앱) 등이 마비됐다. 사고 이후 5일 동안 장애가 지속했다. 27일부터 순차적으로 서비스 복구가 이뤄졌다.

사고 초기 사이버보안 업계에서는 개인정보도 유출된 것 아니냐는 목소리가 나왔다. 최근의 랜섬웨어는 단순히 데이터를 암호화하는 데 그치지 않고 원본 데이터를 훔쳐내는 것이 일반적이다. 한 업계 관계자는 “실제 개인정보 유출 여부는 시스템을 복구하고 어떤 경로로 침입했는지 등에 대한 세부적인 분석을 해봐야 알 것”이라는 견해를 밝히기도 했다.

우려가 현실이 됐다. 골프존은 사고 발생 21일 만에 개인정보가 유출됐음을 인정했다. 공식 홈페이지에 ‘해킹 사고 관련 개인정보 유출 안내’를 공지하는 한편 회원들에게도 같은 내용을 담은 문자메시지를 발송했다.

골프존은 “11월23일 당사의 서버가 전문 해커로 추정되는 공격자에 의해 랜섬웨어 감염으로 고객의 일부 정보가 유출되는 상황이 발생했다”며 “현재까지 파악된 바에 의하면 해커가 당사가 관리하던 파일을 탈취했고 해당 자료에 귀하의 성함과 휴대전화번호가 포함된 것으로 파악된다”고 안내하고 있다.

앞으로 피해 범위나 규모가 확산될 가능성도 배제할 수 없을 것으로 보인다. 실제 12월14일 골프존이 피해 사실을 알리기 전, 12월8일경 랜섬웨어그룹 ‘BLACK SUIT’는 특정 브라우저로 접속할 수 있는 자신의 데이터 유출 사이트에 골프존의 데이터를 업로드했다. 압축파일은 539기가바이트(GB)다.

압축파일에 어떤 데이터가 포함돼 있는지는 불분명하다. 큰 용량과 낮은 다운로드 속도 탓에 다운로드 완료까지 상당한 시간이 소요될 것으로 전망된다. 골프존이 데이터 유출을 시인한 것을 감안하면 진위여부에 대한 논란은 없을 것으로 보인다.

데이터 크기상 단순 개인정보뿐만 아니라 갖가지 데이터가 대부분 포함돼 있을 것으로 추정되는 상황이다. 전사 데이터가 모두 유출됐을 수도 있다는 우려가 제기된다.

사태를 축소하려다가 피해를 키운 것 아니냐는 목소리도 나온다. 실제 11월23일 랜섬웨어 사고 이후 골프존 회원들은 갑작스레 많은 피싱 문자를 받았다고 호소한 바 있다. 골프존은 12월13일 자사를 사칭한 피싱 문자가 발송되는 사례가 늘고 있다는 공지사항을 게재하기도 했다.

골프존이 개인정보 유출을 언제 알게 됐느냐도 주목할 만한 부분이다. 개인정보보호법상 개인정보처리자는 개인정보의 분실‧도난‧유출을 알게 됐을 때는 지체 없이 해당 주체에게 알려야 한다고 안내하고 있다. 한국인터넷진흥원(KISA)은 신고기한을 72시간 이내로 규정하고 있다. 개인정보가 유출된 것은 11월23일로 추정되는 만큼 기한이 한참 지났다.

유출 시점보다는 골프존이 유출을 인지한 시점이 언제인가가 평가될 것으로 예상된다. 사고 초기 개인정보 유출을 탐지하지 못했더라도 랜섬웨어그룹과 협상할 경우 개인정보가 유출됐음을 알았다면 12월14일에야 피해자에게 안내를 한 것은 문제의 소지가 있다.

개인정보보호위원회(이하 개인정보위)는 골프존의 사례는 조사가 진행돼 봐야 하기 때문에 섣불리 신고기한을 넘긴 것이냐, 아니냐를 판단할 수는 없다고 답했다. 다만 일반론적인 관점에서 유출 사실을 인지한 시점으로부터 72시간 이내에 신고하지 않았다면 의무를 위반한 것으로 판단할 수 있을 것이라고 전했다.

랜섬웨어 공격으로 시스템 복구까지 상당한 시일이 걸린 것과 대규모 데이터가 고스란히 유출된 것은 골프존의 부실한 정보보호 투자 때문이라는 비판도 나온다.

골프존은 정보보호공시를 통해 2022년 정보보호에 20억5000만원을 투자했다고 공시했다. 2022년 골프존의 매출액은 5666억원, 영업이익은 1499억원이다. 고객의 데이터를 지키기 위해 쓴 예산은 매출의 0.3%, 영업이익의 1.3%에 불과하다. 주요 투자 항목 중에는 아마존웹서비스(AWS) 보안체계 고도화, 침해사고 대응 및 복구 훈련과 내부유출방지솔루션(DLP) 라이선스 갱신 등이 제출됐지만 제 기능을 발휘하지 못한 것으로 보인다.

개인정보위는 14일 골프존에 대한 개인정보 유출 신고는 접수된 상태라고 전했다. 다음주 초 담당과를 지정, 조사에 착수한다는 방침이다.