[디지털데일리 이종현기자] 사이버공격으로 개인정보 유출이 빈번하게 이뤄지고 있는 가운데 스크린골프 서비스를 제공하는 골프존에서 대규모 개인정보 유출이 이뤄졌다. 2017년 이전 가입자의 정보만 유출됐다고 하지만 그 규모가 적지 않다. 유출 피해를 입은 이들은 골프존이 해커와 협상해 개인정보 공개를 막을 수 있었음에도 수수방관했다고 비판하는 중이다.

20일 사이버보안 업계에 따르면 골프존의 데이터 유출로 수백만명의 개인정보가 유출됐다. 골프존 측은 2017년 이전 가입자의 이름과 휴대전화번호가 유출됐고 주민등록번호는 유출되지 않았다고 전했다.

당초 예상보다 피해 규모가 커짐에 따라 골프존을 향한 비판의 목소리는 커지는 중이다. 11월23일 랜섬웨어로 서비스 장애를 겪었던 당시에는 개인정보 유출이 없다고 했으나 12월14일에서야 개인정보가 유출됐음을 인정하는 등 책임 회피를 위한 말 바꾸기를 했다는 지적도 이어진다.

해커와 협상하지 않고 개인정보를 유출토록 한 점도 문제삼았다. 골프존의 데이터를 공개한 해커는 전문 랜섬웨어 그룹 ‘Blacksuit’이다. 미국 연방수사국(FBI)과 국토안보부 산하 사이버‧인프라보안국(CISA)은 Blacksuit가 수년간 활발하게 활동해온 Royal의 새로운 브랜드일 것이라고 밝힌 바 있다. Royal과 Balcksuit 랜섬웨어의 소스코드에서 유사한 특징이 확인된 것을 근거로 들었다.

Royal은 전 세계 기업‧기관을 대상으로 데이터를 훔쳐내 몸값을 요구하는 일을 반복해온 조직이다. 사이버보안 기업 팔로알토네트웍스의 위협 연구기관 유닛42는 Royal이 러시아 해커조직 Conti의 전 멤버들로 구성된 것으로 의심된다고 전한 바 있다.

Royal과 Blacksuit의 지난 행적을 살폈을 때 골프존에게 데이터 유출을 빌미로 협상을 제안했을 것으로 추정된다. 데이터가 공개됐다는 것은 골프존이 비용을 지불하지 않았거나, 혹은 비용을 지불했음에도 약속을 어기고 공개한 것이 된다. 복수의 사이버보안 전문가는 즉답을 피하면서도 “협상이 아예 없었던 것은 아닌 걸로 안다”고 전했다.

해커와 협상하는 것이 바람직하다고 말하기는 어렵다. 다만 데이터가 공개됨에 따라 골프존은 ‘침해사고를 입은 피해자’에서 ‘고객 개인정보를 지키지 않은 가해자’가 됐다는 지적을 피하기 어렵다.

사이버보안 업계 관계자는 “골프존이 이 같은 결정을 한 것은 개인정보 유출로 인한 손해보다 협상에 응할 경우 생기는 손해가 더 크다고 판단했기 때문이라고 생각한다”며 “개인정보가 유출된다 하더라도 법에서 요구하는 바만 잘 지켰다면 큰 과태료가 나오지는 않는다. 개인정보 유출로 인한 손해배상도 워낙 오랜 시간이 걸리다 보니 참여율이 낮다”고 밝혔다.

개인정보 유출 안내 문자를 받은 한 골프존 회원은 “피싱 문자를 조심하라고나 할 뿐, 피해를 어떻게 보상할 것인지 등에 대해서는 일언반구도 없다”며 “시장을 독점하고 있다 보니 배짱 영업을 하고 있는데, 상장 기업이 이런 행보를 보인다는 것이 납득되지 않는다”고 말했다.

한편 개인정보 유출이라는 악재에도 골프존의 기업 주가는 큰 영향을 받지 않았다. 12월14일 개인정보 유출 사실이 알려진 날에는 전일대비 1.18% 상승한 데 더해 19일까지 4거래일 연속 상승했다. 20일 종가는 소폭 하락해 9만700원으로 장을 마감했는데, 사고 이후 5거래일 동안 주가는 6.8% 상승했다.