“221만명 정보 유출 골프존, 회원 파일 암호 안 건 탓”

‘최상명 스텔스몰 CIO, 개인정보보호 페어 기조연설
“엑셀은 파일에 암호 걸어놔 해킹에도 개인정보 유출 안돼”

골프존 CI. 골프존 제공

지난해 11월 221만명의 회원 정보를 유출한 골프존이 관련 파일에 암호를 걸지 않아 개인정보가 유출됐다는 지적이 나왔다.

최상명 스텔스몰 인텔리전스 최고정보관리책임자(CIO)는 4일 개인정보보호위원회 주최로 열린 ‘2024 개인정보보호 페어’ 기조연설에서 이렇게 분석했다.

최 CIO는 “골프존에서 대량의 개인정보가 유출된 가장 큰 원인은 ‘암호없는 파일’”이라며 “‘통합회원’ 엑셀 파일은 유출이 됐음에도 (파일을 열람할 때) 암호를 걸어놓은 덕분에 개인정보까지 유출되지 않았다”고 말했다.

그러면서 “유출된 200만여개의 개인정보가 담긴 준회원 파일의 경우, 암호 조치를 하지 않았다”며 “용량이 크다는 이유였다면 압축을 해 암호를 걸었어야 했으나 그런 조치도 하지 않아 누구나 열람할 수 있었다”고 비판했다.

개인정보위는 지난달 개인정보가 담긴 파일서버를 제대로 관리하지 않은 골프존에 대해 안전조치의무 위반 등으로 과징금 75억여원을 부과했다.

개인정보위 조사에 따르면 지난해 11월 해커는 알 수 없는 방법으로 골프존 직원들의 가상사설망 계정정보를 탈취해 업무망 내 파일서버에 원격 접속한 뒤 이곳에 저장된 파일을 외부로 유출했다. 이후 유출한 정보를 다크웹에 공개했다.

최 CIO는 “정작 파일을 탈취한 해커가 이를 다른 사람이 볼 수 없도록 암호를 걸어 압축해 놨다”며 “오히려 (개인정보 보호 측면에서) 해커가 더 잘했다고 볼 수 있는 부분”이라고 꼬집었다.

그는 이렇게 유출된 임직원의 주민등록번호를 포함한 각종 개인정보가 다크웹에 유출됐고, 해킹 조직들이 이를 보이스피싱 등에 활용했다고도 지적했다.

성윤수 기자 tigris@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포 및 AI학습 이용 금지