카카오 블록체인 계열사 그라운드X의 자회사 그라운드원에서 2000여명의 개인정보가 유출됐다. 문제는 그라운드원 측이 11월 초에 발생한 해킹 사건을 한국인터넷진흥원(KISA)에 한 달 만에 신고 했다는 점이다. 대규모 개인정보 유출에도 불구하고 늦장 대응을 한 셈이다.
2일 그라운드원에 따르면 지난달 8일 오후 3시경 회사 클라우드 기반 문서관리 시스템에 해커에 의해 탈취된 관리용 계정이 접속됐다. 해커는 계정을 활용해 그라운드원의 업무용 파일을 빼냈다. 파일에는 업무용 연락처 2000여개의 성명·이메일·전화번호 등 정보가 담겨있었다.
그라운드원은 이날 공지메일을 통해 개인정보가 유출된 피해자들에게 이 같은 사실을 공지했다. 그라운드X의 클레이튼 서비스 이용자와는 관계없는 업무 관계자 정보가 탈취됐다는 게 회사 설명이다.
그라운드X는 카카오의 블록체인 기술 전문 계열사다. 그라운드원은 그라운드X의 자회사로 국내 사무소 기능을 담당한다. 그라운드X의 법인 소재지가 일본이기 때문이다.
문제가 되는 것은 뒤늦은 회사의 대응이다. 그라운드원이 지난달 8일 해킹이 발생한 직후 피해사실을 인지했다는 점이다. 개인정보보호법은 기업이 개인정보 유출 사고를 인지한 후 지체 없이 KISA에 피해사실을 신고해야 한다고 규정했다. 이를 어길 경우 3000만원 이하 과태료가 부과된다.
그러나 그라운드원은 한 달 만인 이날에서야 KISA에 해킹사실을 신고하고 피해자에게 이 사실을 알렸다. 지난 한 달 동안 피해사실을 인지하고도 해당 사실을 당사자와 담당기관에 너무 늦게 알린 것이다.
KISA는 “해당 업체는 금일(2일) 개인정보 유출신고와 침해사고 신고를 접수했다”고 확인해 줬다.
이에 대해 그라운드원 측은 “피해사실은 즉시 인지했고 재발방지대책과 내부 대응책 마련으로 인해 신고가 늦어졌다”고 해명했다.
【표】개인정보·정보보호 침해사고 시 근거 조항(자료 : KISA)
이영호기자 youngtiger@etnews.com, 오다인기자 ohdain@etnews.com