악명 높은 랜섬웨어 조직에 임직원 정보 유출된 서연이화

[이데일리 최연두 기자] 현대차(005380)와 기아(000270)자동차, 포드 등 주요 자동차 업체 부품 공급업체 서연이화(200880)가 신생 랜섬웨어 해커조직 스페이스 베어스(Space Bears)의 공격을 받아 민감한 사내자료를 대량 유출한 것으로 확인됐다. 스페이스 베어스는 해킹 직후부터 서연이화에 금전을 요구해왔으나 여의치 않자 제품 견적서 등 일부 데이터를 1차 유출한 데 이어 2차 유출이 우려되는 상황이다.

다크웹에서는 지주사인 서연 소속 임원의 주민번호와 보수총액 등 민감한 개인정보가 담긴 문서 파일도 확인됐다.

랜섬웨어 관련 이미지

25일 보안업계에 따르면 스페이스 베어스는 올해 등장한 신생 랜섬웨어 해커조직으로, 지난 18일 다크웹에 서연이화를 공격했으며 일주일 간 협상하겠다고 주장하는 글을 올렸다. 다크웹은 인터넷주소(IP) 파악이 어려워 불법 정보가 다량으로 유통되는 웹브라우저로, 해커조직이 피해 기업의 정보를 사고 파는 경로로 악용되고 있다. 스페이스 베어스는 서연이화의 민감 정보 탈취와 함께 해당 파일을 암호화해 내부에서 접근할 수 없도록 했다.

서연이화는 해당 사실을 인지한 뒤 스페이스 베어스와 금전 지불 등 협상을 이어왔으나 합의에 이르지 못한 것으로 보인다. 스페이스 베어스는 지난 24일 오후 7시께 원하는 만큼의 성과를 보지 못했다면서 자체 다크웹 블로그에 서연과 서연이화 및 계열사의 견적서와 재무 보고서, 내부 시스템 계약서 등 약 28메가바이트(MB)에 해당하는 데이터를 유출했다.

이데일리가 다크웹에 접속, 해당 데이터를 직접 다운로드해 전자공시시스템 사업보고서와 대조한 결과 임모 전무 등 서연이화 지주사인 서연 임직원 167명으로 추정되는 개인들의 주민번호와 (회사)전입일, 연간보수총액 등 개인정보가 담긴 엑셀 파일이 확인됐다. 해당 정보가 서연이화가 아닌 지주사 임직원 정보라는 점에서 스페이스 베어스가 지주사인 서연 정보까지 고의로 접근한 것인지 여부는 불확실하다.

해커조직은 통상 협상에 실패한 경우 3차까지 나눠 데이터를 유출하는 경우가 많다. 이에 따라 추가 정보 유출 가능성도 배제할 수 없게 됐다.

서연이화 해킹사건 일지 및 기업 개요(그래픽=김정훈 기자)

서연이화는 이번 정보 유출 사고와 관련해 함구하고 있다. 서연이화 관계자는 “현재 (관련 사안을) 확인 중이다. 공식적으로 답변할 수 있는 부분이 없다”고 잘라 말했다.

이같은 상황에서 서연이화는 이번 사고를 개인정보보호위원회에 신고하지 않은 것으로 확인돼 향후 제재를 받게 될 전망이다. 개인정보위는 통상 언론 보도나 민간 신고접수 등을 통해 사안을 확인하고 조사를 실시하는데, 이번 사안과 관련해 신고 받은 것이 없다고 밝혔다. 개인정보위 관계자는 “실제로 주민등록번호가 유출됐다면, 기업은 개인정보보호법에 따라 사고 인지 후 72시간 이내 개인정보위에 신고 및 통지하는 것이 의무”라고 언급했다.

서연이화는 동시에 개인정보 유출신고 및 통지를 위반한 사업자로 개인정보위로부터 과징금 혹은 과태료 부과 조치를 받을 것으로 보인다. 동시에 임직원 개인정보 유출과 관련해 개인정보위의 시정명령도 받게 될 전망이다. 보안업계 전문가들은 “서연이화가 사고 인지 즉시 개인정보위 혹은 한국인터넷진흥원(KISA)에 신고했어야 한다”며 “랜섬웨어 조직들과 자체적으로 협상을 진행하지 말고 기관 내 전문가들의 도움을 받는 것이 최선”이라며 안타까워하는 모습이다. 해킹 피해가 발생했을 경우 유출된 정보가 어떤 종류인지 먼저 파악하고, 정보의 중요도를 따져 그에 맞는 대응이 필요하다고도 조언했다.

보안업계에서는 대기업에 비해 보안이 취약한 경우가 많은 중소기업들이 해커들의 주요 타깃이 되는 가운데 해커가 이를 경로로 다량의 고객 정보를 보유한 대기업도 위험에 빠뜨릴 수 있다고 우려하고 있다. 실제로 25일 최민희 더불어민주당 의원실이 공개한 네이버 클라우드의 일본 라인 개인정보 51만건 유출사고와 관련해 네이버클라우드가 도입한 외국계 보안 솔루션 업체의 국내 협력사 소속 직원의 PC가 악성코드에 감염된 것이 정보 유출의 시초였다는 보고서를 공개했다. 네이버클라우드의 국내 서버와 연동된 일본 서버로 해당 악성코드가 흘러 들어간 것이 원인이었다는 설명이다.

랜섬웨어 조직의 악명도는 높다. 랜섬웨어는 몸값(ransom)과 악성코드(malware)의 합성어로, 특정 직원의 PC나 시스템 내 중요 파일을 암호화해 접근을 막고 이를 복호화하는 대가로 자금을 요구하는 사이버 공격 수법이다. 지난 2021년 미국의 최대 송유관 운영업체인 ‘콜로니얼 파이프라인’은 랜섬웨어 공격으로 6일 간 가동을 중단해야 했다. 이로 인해 당시 휘발유 가격은 2014년 이후 처음으로 갤런당 3달러(3510원) 이상으로 치솟았다. 현대차그룹·이랜드 등 국내 유수 대기업 업체들도 과거 랜섬웨어에 당한 경험이 있다.