[디지털데일리 이종현기자] 골프존에서 대규모 개인정보가 유출됐다. 다크웹에 공개돼 있는 골프존 데이터에는 수백만명의 개인정보가 포함돼 있는 것으로 전해짐에 따라 회원들의 불안이 커지는 가운데 개인정보가 유출된 회원들에 대한 피해 보상이 가능할지에 대한 관심이 커지는 중이다.

골프존이 랜섬웨어 공격에 당한 것은 11월23일이다. 랜섬웨어는 데이터를 인질로 삼는 악성 소프트웨어(SW)다. 최근에는 금전적 목적을 위해 가장 흔하게 사용되는 사이버공격 유형이다. 데이터를 암호화한 뒤 몸값(Ransom)을 지불하면 암호를 풀 수 있는 복호화 도구를 주겠다는 협박을 하는 것이 일반적이다.

그러나 최근에는 데이터를 암호화하기 전 훔쳐가는 방법을 취한다. 기업들이 백업을 일상화하면서 해커와 협상하지 않고 시스템을 복구하자 ‘몸값을 주지 않으면 데이터를 외부로 흘리겠다’는 식으로 협박하는 방식이다. 실제 다크웹 등에서는 이와 같은 이유로 기업의 내부 데이터가 수시로 업로드되고 있다.

당초 골프존은 “랜섬웨어에 따른 서버 디스크 파손으로 골프존 웹‧앱‧점포 운영 사이트 등의 정상 운영에 어려움을 겪고 있다. 랜섬웨어를 통한 골프존 회원의 개인정보 유출은 없다”는 입장문을 내놨다. 하지만 사이버보안 전문가들은 랜섬웨어 공격을 당했다면 데이터 유출도 있었을 것이라는 의견을 내비쳤다.

그리고 개인정보 유출이 없다던 골프존의 해명과 달리 12월8일 랜섬웨어그룹(이하 해커)의 다크웹 웹페이지에는 골프존의 데이터가 공개됐다. 539기가바이트(GB)의 압축파일이다. 정보기술(IT) 업계에 따르면 해당 파일 내에는 수백만명의 개인정보가 포함돼 있는 것으로 전해진다. 골프존 가맹주와 회원들의 데이터도 담겼다.

골프존은 해커가 데이터를 공개한 지 6일이 지난 12월14일에야 개인정보 유출을 인정했다. 골프존은 “11월23일 당사의 서버가 전문 해커로 추정되는 공격자에 의해 랜섬웨어 감염으로 고객의 일부 정보가 유출되는 상황이 발생했다. 현재까지 파악된 바에 의하면 해커가 당사가 관리하던 파일을 탈취했고 해당 자료에 귀하의 성함과 휴대전화번호가 포함된 것으로 파악된다”고 안내했다.

대규모 개인정보 유출이 확실시되는 가운데 이를 이용한 2차 피해에 대한 우려가 커지는 중이다. 골프 스포츠의 특성상 일반 플랫폼의 개인정보 유출보다도 악용의 소지가 높다는 목소리가 나온다.

개인정보보호위원회는 골프존 사태에 대한 조사에 착수한 상태다. 골프존이 적절한 수준의 보안 조치를 했음에도 유출 사고가 발생한 것인지, 보안을 소홀히 하다가 유출 사고가 발생했는지에 따라 과징금 액수가 달라질 것으로 보인다. 골프존은 2022년 정보보호에 20억원을 투자했다. 2022년 골프존의 매출액은 5666억원, 영업이익은 1499억원이다. 정보보호 투자액은 매출의 0.3%, 영업이익의 1.3% 수준이다.

유출에 대한 지연신고에 대한 책임은 피하기 어려울 것으로 보인다. 골프존이 개인정보보호위원회에 유출 신고를 한 것은 12월14일이다. 사고 발생 21일 만이다. 사이버보안 업계 관계자는 “당초 데이터가 유출된 것을 모를 수는 있다. 하지만 해커가 데이터를 공개하기 전, 골프존과 협상을 하는 과정에서 골프존은 데이터 유출을 알았을 것”이라고 말했다.

개인정보 관리 소홀 및 유출 사실 지연 신고 등으로 인한 과징금이 부과될 것으로 예상되지만 피해자에 대한 보상은 쉽지 않을 것으로 보인다. 개인정보보호위원회의 분쟁조정을 통해 조정이 성립될 경우 피해액을 보상받을 수 있지만 골프존이 참여를 않거나 불응할 경우 소송을 진행해야 하기 때문이다.

실제 2020년 67억원의 과징금을 부과받은 메타의 경우 2021년 분쟁조정이 진행돼 신청인들에게 30만원을 지급하라는 조정안이 나왔으나 메타 측이 이를 거부해 소송으로 이어졌다. 개인정보 분쟁조정의 실효성이 떨어진다는 지적과 동시에 개인이 피해를 입었음에도 보상은 정부가 챙긴다는 볼멘소리가 나오는 배경이다.

한편 개인정보 유출로 인한 피해 보상액은 일반화돼 있지 않다. 다만 과거 판례를 통해 일정 부분 예측이 가능하다. 2014년 KB국민카드, 농협카드, 롯데카드 등 카드3사에서 개인정보 1억건이 유출된 사건 당시 소송인측은 50만원의 배상을 요구했고 조정을 거쳐 10만원으로 확정됐다. 2016년 인터파크의 개인정보 2540만건 유출 사례에서도 소송인은 30만원의 배상을 요구했고 최종 확정된 것은 10만원가량이다.

문제는 소송부터 최종 대법원 판결까지 긴 시간이 소요된다는 점이다. 2014년 시작됐던 카드3사 소송은 2019년 대법원 판결이 내려졌다. 2016년 인터파크 소송도 2021년 마무리됐다. 두 사례 모두 소송 개시부터 최종 반결까지 5년이 소요됐다.

모든 이들이 보상을 받은 것도 아니다. 카드3사 개인정보 유출 소송에 참여한 것은 2만여명이다. 인터파크의 경우 2400여명인데, 실제 유출 피해자 중 보상을 받은 것은 0.1% 남짓이다. 들이는 품에 비해 보상액이 적어 소송 참여율이 낮은 것으로 풀이된다.