고객정보 221만건 털린 골프존…"암호 없어 피해 키웠다"

업계 1위 골프존, 파일 암호 걸지 않아 누구나 열람
성범죄 경력 조회서 등 유출돼 피싱 공격에 재활용
텔레그램 통해 韓 제약사, 반도체사 정보도 거래돼

[이데일리 김가은 기자] “개인정보를 유출시킨 가장 큰 문제점은 (골프존이) 파일에 암호를 걸지 않은 것이다. 정작 파일을 탈취한 해커가 파일 내용을 다른 사람이 볼 수 없도록 암호를 걸어놨다.”

최상명 스텔스몰 CIO가 4일 서울 강남구 코엑스에서 열린 ‘2024 개인정보보호 페어’에서 기조연설을 하고 있다(사진=김가은 기자)

최상명 스텔스몰 인텔리전스 정보보안책임자(CIO)는 4일 서울 강남구 코엑스에서 열린 ‘2024 개인정보보호 페어’ 기조연설을 통해 이같이 지적했다. 골프존이 파일 암호화 작업을 소홀히 해 피해를 키웠다는 지적이다. 앞서 개인정보보호위원회는 개인정보가 담긴 파일 서버를 제대로 관리하지 않은 골프존에 과징금 75억원을 부과했다.

실내 스크린 골프 연습장 업계 1위 업체인 골프존은 지난해 11월 해커로부터 랜섬웨어 공격을 받았다. 이로 인해 이용자 이름, 전화번호, 이메일, 생년월일 및 임직원 정보 등 약 221만건이 유출됐다. 개인정보위 조사에 따르면 해커는 골프존 직원들의 가상사설망(VPN) 계정정보를 탈취해 업무망 내 파일 서버에 원격 접속한 뒤 파일을 외부로 유출했다. 이후 정보들을 다크웹에 공개했다.

최 CIO는 “200만여개의 개인정보가 담긴 준회원 파일의 경우 암호 조치를 하지 않아 누구나 열람할 수 있었다”며 “함께 탈취 당한 ‘통합회원’ 엑셀 파일은 암호를 걸어놓은 덕분에 개인정보까지 유출되지는 않았다”고 분석했다.

이어 “고객 정보는 물론 임직원들의 주민번호나 성범죄 경력 조회서 등도 다크웹에 전부 유출됐다”며 “해커들은 탈취한 개인정보를 피싱 공격에 재활용하거나 재판매하고 있다. 한 번 유출된 개인정보는 끝없이 확산된다”고 꼬집었다.

글로벌 메신저 서비스 텔레그램도 유통 경로로 자리잡은지 오래다. 최 CIO는 “최근에는 해커들이 운영하는 텔레그램도 다크웹이나 딥웹으로 분류되고 있다”며 “채널 주소를 모르면 외부에서 볼 수 없다는 특성을 이용한 것”이라고 언급했다.

스텔스몰 조사에 따르면 현재 다크웹과 텔레그램에서는 국내 제약사, 자동차 부품사, 반도체 기업 등에서 유출된 다양한 정보가 거래되고 있는 것으로 나타났다. 백마부대 군수담당관, 육군미사일전략사령부 소속 원사 등 국방과 관련된 정보도 여럿 발견됐다. 최 CIO는 “만약 북한 해커들이 다크웹에서 이 같은 개인정보들을 발견한다면 이를 이용해 국방 관계자로 위장한 후 또 다른 범죄활동을 저지를 수 있다”고 경고했다.

최 CIO는 디지털 저작권 관리기술(DRM) 등으로 파일을 암호화하는 것이 정보 유출을 막을 수 있는 핵심 방안이라고 강조했다. 그는 “개인정보 유출을 100% 막을 수는 없다”면서도 “보유한 파일에 비밀번호를 걸고, 암호화 장치를 마련해 설령 유출이 되더라도 아무것도 볼 수 없도록 하는 게 개인정보보호의 핵심”이라고 역설했다.

김가은 (7rsilver@edaily.co.kr)