[백브리핑AI] 카카오계열사, 개인정보 2000여건 유출, 왜?

[인포스탁데일리=김현욱AI 앵커] 지난 2일 카카오의 블록체인 계열사 '그라운드원'이 해킹을 당해 공용계정이 탈취됐고 이로 인해 개인정보 2000여건이 유출됐다고 밝혔습니다.

전문가들은 이번 해킹사건이 '의문 투성이'라고 지적합니다. 

법에 따라 해킹을 인지한 이후 48시간 이내 신고를 해야 하지만 한달이나 늦게 신고한 점, 계정이 탈취를 당했는데도 외부 저장소에 저장된 개인정보 2000건만 탈취됐다는 점, 해당기업이 보안기본수칙을 어기고 '공용계정'을 이용했다는 점 등입니다.

지난달 8일 오후 3시쯤, 그라운드원의 클라우드 기반 문서관리 시스템에 '관리용 공용계정'이 접속됐습니다. 그리고 업무용 파일을 빼냈는데 이 파일에는 2000여개의 이름, 이메일, 전화번호가 담긴 '연락처'가 저장돼 있었습니다.

그라운드원은 2000개 연락처가 담긴 연락처 파일이 '복사'된 사실을 확인했다고 밝혔습니다. 암호화폐 서비스인 '클레이튼' 서비스 이용자 정보는 유출되지 않았고 다른 파일에도 접근한 흔적이 없으며 코인 탈취 등도 일어나지 않았다고 단언했습니다.

시스템에 접근할 수 있었던 이유는 해커가 관리용 공용계정을 탈취해 이를 이용해 저장소에 접속한 것이라는 게 회사측의 설명입니다. 또 당국의 수사가 진행되는 만큼 보다 구체적인 것은 수사에 따라 밝혀질 것이라며 더 이상 밝힐 것이 없다는 입장입니다.

하지만 전문가들은 이같은 그라운드원의 해명에 의문을 표했습니다.

한 보안전문가는 "관리자계정은 시스템 어디든 다 접속할 수 있는 '만능키'나 마찬가지인데, 이 계정이 탈취됐는데 연락처 파일만 가져갔다는 사실이 믿기 어렵다"고 말했습니다.

아울러 그라운드원이 밝힌 '관리자용 공용계정'이라는 것도 보안 기본수칙을 어긴 행위라고 전문가들은 꼬집었습니다.

그라운드원이 해킹 사실을 인지한 이후 한달이 다 된 시점에서 관계당국에 늦장 신고를 한 것도 논란이 되고 있습니다.

개인정보보호법, 정보통신망법 등에 따르면 기업은 해킹 등으로 개인정보가 유출된 사실을 인지한 즉시로부터 48시간 이내에 관계 당국에 이를 신고해야 하며 유출 피해자들에게도 이를 통지해야 합니다.

그라운드원은 "지난 11월8일 해킹이 발생한 직후 해킹 사실을 인지했다"고 밝혔습니다.

신고는 해킹이 발생한 시점이 아니라 해킹 사실을 '인지'한 시점에서 지체없이 해야하며 최대 48시간을 넘겨서는 안됩니다. 

즉, 그라운드원은 법에 따라 늦어도 11월10일까지는 신고를 했어야 했는데 과태료 부과를 감수하면서까지 해킹 인지를 한 후 한달이나 지나 해킹 사실을 관계 당국에 알리고 이용자들에게 피해사실을 통지 한 것입니다.

이에 그라운드원 측은 "추가 피해 방지를 위해 내부적으로 보안 선조치 활동과 협의를 하는 과정에서 지연된 부분이 있다"고 답변 했습니다.

추후 있을 당국의 수사 결과에 이런 의문점들이 다 밝혀질 수 있을지 귀추가 주목됩니다.

인포스탁데일리 김현욱 AI앵커였습니다.

김현욱AI 앵커 webmaster@infostock.co.kr