[더페어] 이용훈 기자=스크린골프 서비스 업체 골프존이 랜섬웨어 공격을 받아 약 198만 명의 개인정보가 유출된 것이 확인됐다. 이 과정에서 골프존의 미흡한 대응이 도마에 오르고 있다.
지난달 23일 골프존 서버가 랜섬웨어 감염으로 장애를 일으켜 사이트와 앱의 예약 시스템이 닷새간 마비됐다. 당시 골프존은 개인정보 유출은 없다고 못을 박았지만, 지난 14일 약 3주가 지나서야 회원 이름과 연락처 등 개인정보 유출이 있었다고 시인하고 뒤늦게 사과문을 게시했다.
골프존이 개인정보 유출을 인지했음에도 이를 감춰오다 다크웹에 유출 정보가 공개되면서 뒤늦게 수습에 나섰다는 의혹을 피하기 어려운 부분이다.
이에 대해 골프존 관계자는 "당시에는 골프존 웹사이트 회원 DB와 관련해서는 침해 사실이 확인되지 않았고, 유출 사실을 감추려고 했던 것은 아니다"라며 "이후 해커가 데이터를 다크웹에 공개했다는 사실을 확인하고 관련 규정에 따라 유관기관 신고와 고객 대상 공지를 진행했다"고 밝혔다.
다크웹에 공개된 골프존 유출 개인정보를 살펴보면 데이터는 총 2TB 에 중복 자료를 제외하고 회원 약 198만 명의 이름과 전화번호, 골프강사 200여 명의 이름과 주민등록번호, 계좌번호 등이 기록돼 있다.
골프존의 위와 같은 주장에 대해 기업 정보관리 전문가는 "정보의 민감성, 해커의 랜섬웨어 공격 동기 등을 고려했을 때 정보 유출 가능성을 가정하고 유관기관 신고, 회원 공지 등 조치가 우선되었어야 했다"고 지적했다.
실제 골프존이 홈페이지에 사과문을 올리기 전 이미 많은 회원들에게 골프존을 사칭한 문자가 무작위로 발송된 것으로 확인돼 골프존의 뒤늦은 대처로 정보 유출 피해자를 대상으로 한 스미싱 및 보이스피싱 등 위험이 커질 것으로 예상된다.
향후 수습방안을 묻는 <더페어> 질문에 골프존은 "유관기관 신고 및 고객 대상 통지 등 필요한 조치를 취했고, 조사 중인 세부 내용에 대해서는 밝힐 수 없다"고 말을 아꼈다.
골프존은 지난해 6천170억 원의 매출을 올린 반면, 정보보호 예산으로는 매출액의 0.3% 수준인 20억 원을 집행했다. 아울러 이번 사태의 피해자들에게는 모바일 이용권 3천원 권을 지급하는 방안을 내놓은 것으로 알려져, 골프존이 정보 관리 소홀은 물론 회원 개인정보 자체를 가볍게 여기고 있는 것 아니냐는 우려도 일고 있다.
한편 골프존은 인천과 대구 등 실제 골프장의 골프 코스를 해당 골프장 동의 없이 스크린골프 화면에 무단으로 사용해 물의를 일으키기도 했다.
이와 같이 계속되는 잡음은 골프존의 이미지와 신뢰도를 하락시키는 요인으로 작용해 지난해 5월 18만6천 원까지 올랐던 주가는 19일 기준 9만2천 원까지 떨어졌다. 수익 역시 부진했다. 골프존의 올 3분기 영업이익은 275억 원으로 전년 동기 대비 38.7% 감소했고, 같은 기간 당기순이익은 214억 원으로 41.4% 떨어졌다. 여기에 소액주주들로부터 지주사 골프존뉴딘홀딩스 김영찬 회장의 경영권 포기 목소리도 나오고 있어 개인정보 유출 수습과 실적 개선 등 돌파구 마련이 절실한 상황이다.