개인정보 유출한 그라운드원, 25일만에 늦장 신고·통지
카카오의 블록체인 계열사인 그라운드원에서 개인정보 유출 사고가 발생했다. 유출된 개인정보는 총 2000건이다. 그라운드원은 지난 달 이를 인지했으나, 약 한 달 가까이 지난 후 피해자들에게 통지, 유관기관에 신고를 한 것으로 나타났다.
2일 회사측에 따르면, 지난 11월 8일 그라운드원이 사용하고 있는 클라우드 기반 문서관리 시스템에 신원을 알 수 없는 자가 탈취한 계정을 활용해 접속, 업무용 파일을 내려받았다. 해당 파일에는 개인정보인 성명, 이메일, 전화번호 2000건이 포함됐다.
회사 관계자는 “유출된 개인정보 대상은 기자들, 오프라인 행사 참가자들, 뉴스레터 구독자들”이라며 “그라운드원의 서비스인 클립, 클레이튼과 무관하다”고 전했다.
그라운드원은 개인정보 유출, 해킹 사실을 사건 발생 당일인 지난달 8일 인지했다. 클라우드 기반 문서관리 시스템의 로그를 확인하던 중 해당 계정에서 개인정보가 담긴 업무 파일을 다운받은 것을 확인했다. 이 계정은 관리용 이메일 계정이라는 게 회사측 설명이다. 그라운드원은 사고 인지 후 곧바로 해당 계정의 접속을 차단했다. 이후 내부보안강화, IP통제, 모니터링 조치 등을 취했다.
그러나 그라운드원은 개인정보 유출을 인지한지 한 달 뒤에야 피해자들에게 공지, 유관기관인 한국인터넷진흥원(KISA)에 신고를 했다. 이에 대해 회사 측은 “추가 피해방지를 위해 내부적으로 보안 선조치, 협의 등을 하느라 지연됐다”고 밝혔다.
현재 그라운드원의 계정탈취 경로와 자세한 원인은 조사 중이다. KISA 측은 “이제 막 신고를 받아 조사를 시작한 단계로, 만약 그라운드원의 관련 법 위반 사항이 있다면 개인정보보호위원회와 의논해 조치를 취할 것”이라고 전했다.
한편, 회사 측은 “현재까지 유출정보를 악용한 사례는 확인되지 않고 있다”며 “다만 유출정보를 악용한 것으로 의심되는 보이스피싱, 스팸문자, 불법 텔레마케팅 등을 유의해달라”고 당부했다.
글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network