서연이화 "자회사 서연오토비전이 랜섬웨어 감염…문제해결 완료"

"해커와 협상한 적 없어…데이터도 당사와 무관"
서연오토비전, 26일 개인정보위에 유출사고 신고
보안 전문가 "데이터 출처 명확히 알기 어려워"

[이데일리 최연두 기자] 서연이화(200880)가 최근 랜섬웨어 해커조직 스페이스 베어스의 내부 정보 해킹 사고와 관련해 “서연그룹의 타 계열사(비상장 중소기업)가 감염된 것으로 서연이화는 랜섬웨어에 감염된 사실이 없다”고 26일 밝혔다.

보안 관련 이미지

서연이화는 26개 법인을 자회사로 둔 자동차 부품 공급업체로, 이번에 랜섬웨어에 감염된 계열사는 서연오토비전이라고 밝혔다. 서연이화는 지난 24일 “해커가 다크웹에 올린 1차 유출 데이터를 직접 다운로드해 확인했으나 해당 데이터는 자사와 무관한 자료였다”며 “해커로부터 돈을 요구받거나 협상 요청을 받은 적이 없다”고 설명했다.

서연이화는 이어 해커조직이 유출한 데이터에 개인정보가 유출된 것으로 확인된 임모 전무에 대해서도 지난해에는 서연오토비전 소속이었으며 현재는 그룹 고문으로 남아있다면서 서연이화의 임직원 정보 유출이 아니라고 선을 그었다.

아울러 서연이화는 이번 랜섬웨어 사건을 해결했으며, 전사적으로 보안을 강화하고 있는 상황이라고 설명했다. 구체적인 해결책에 관해서는 언급하지 않았다. 서연이화는 “주주나 투자자들이 불안감을 느낄 여지를 만들지 않겠다”고도 덧붙였다.

개인정보보호위원회에 따르면 서연오토비전은 26일 오전 랜섬웨어 감염으로 인한 정보유출 사고를 신고한 것으로 확인됐다. 이데일리의 지난 25일 보도 이후 신고한 것으로 보인다. 해커조직이 1차 정보를 유출한 것은 24일이었다. 기업은 개인정보보호법에 따라 개인정보 유출 사고가 발생했을 경우 사고 인지 후 72시간 내 개인정보위에 신고 및 통지해야 할 의무가 있다. 이에 따라 실제 정보가 유출된 서연오토비전이 제때 신고를 한 것이 맞다면, 유출 통지신고 의무 위반에 대해서는 개인정보위의 제재를 받지 않게 됐다. 다만 개인정보위의 조사를 통해 안전조치 의무 위반, 개인정보 파기 위반 등 이외 다른 개인정보보호법 위반 사항이 발견되면 과징금·과태료 부과 등 시정조치를 받을 수 있다.

한편 이번 해킹사고와 관련해 보안 전문가들은 해커조직이 서연이화 것이라고 주장하는 데이터의 출처가 어딘지 정확히 알 수 없다고 봤다. 외국인이 많은 해커들의 특성상 국내 업체명을 혼동하는 과거 사례도 있었다는 설명이다. 과거 S그룹을 상대로 사이버 공격을 감행한 랜섬웨어 해커조직이 자체 블로그에 타 계열사 로고를 올린 사례가 대표적이다.

최연두 (yondu@edaily.co.kr)