한온시스템, 해킹으로 임직원·가족·입사지원자 개인정보 노출…이번이 세 번째

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

글로벌 자동차 열에너지 관리 솔루션 기업 한온시스템이 또다시 해킹 공격을 당했다. 알려진 것만 세 번째다. 탈취된 자료엔 최근 3년간 입사지원자 이력서, 임직원·가족 연락처와 주소, 사원증 사진 등 개인정보부터 자체 기밀(Confidential)로 분류된 한온시스템 글로벌 지분 구조까지 포함됐다.

랜섬웨어 그룹 '헌터스 인터네셔널'은 14일 오전 다크웹을 통해 한온시스템 내부 자료를 공개했다. 탈취한 파일은 163만2481개로, 크기는 2.3테라바이트(TB)에 달한다.

랜섬웨어는 몸값(ransom)과 소프트웨어(software)의 합성어로, 시스템이나 중요 데이터를 암호화해 사용할 수 없도록 만든 뒤 이를 빌미로 몸값을 요구하는 해킹 수법이다.

헌터스 인터네셔널이 해킹한 자료 중 'Asan_HR'로 분류된 폴더엔 충청남도 아산에 위치한 자회사 '한온시스템이에프피코리아' 내부 자료가 포함됐다. 2022년 3월부터 올해까지 한온시스템이에프피코리아에 지원한 신입·경력 이력서 300여건엔 이름·주소·휴대폰번호·이메일주소·자기소개까지 개인정보가 담겼다.

특히 임직원 생일자 현황을 파악한 문서엔 임직원 178명의 이름·부서·직급·생일·휴대폰번호·주소가 포함됐다. 임직원 가족 생일자 현황 문서에는 170명의 이름과 생일이 담겼고 일부는 휴대폰번호와 주소도 기재됐다.

랜섬웨어 그룹 '헌터스 인터네셔널' 다크웨 캡처. 헌터스 인터네셔널이 14일 오전 한온시스템 내부 자료를 공개했다.
랜섬웨어 그룹 '헌터스 인터네셔널' 다크웨 캡처. 헌터스 인터네셔널이 14일 오전 한온시스템 내부 자료를 공개했다.

아룰러 지배 구조로 보이는 글로벌 조직도(Global Organizational Chart)와 해외 법인 현지 법정공휴일을 통합 정리한 일정표, 대표이사 숙소 이전 계획안 등 자체 기밀 자료와 함께 받을어음 계정명세서 등 재무 관련 문서도 있었다. 또 국내는 물론 해외 법인의 임직원 사진도 그대로 노출됐다.

한온시스템은 자동차 열에너지 관리 솔루션 기업이다. 현대자동차, 포드, 현대모비스 등을 주요 고객사로 두고 있다. 현재 한국앤컴퍼니그룹(옛 한국타이어그룹)이 한온시스템 인수 작업을 진행 중인 상황에서 정보보호 사고라는 악재가 터졌다.

더욱이 한온시스템이 랜섬웨어 그룹의 타깃이 된 것은 이번이 처음이 아니다. 2020년 11월 에그레고르(Egregor)의 랜섬웨어 공격을 받은 바 있으며, 2022년 1월엔 한온시스템이에프피코리아가 '스내치(SNACH)'의 공격을 받았다.

랜섬웨어 그룹 '헌터스 인터네셔널' 다크웨 캡처. 헌터스 인터네셔널이 탈취한 파일은 163만2481개로, 크기는 2.3테라바이트(TB)에 달한다.
랜섬웨어 그룹 '헌터스 인터네셔널' 다크웨 캡처. 헌터스 인터네셔널이 탈취한 파일은 163만2481개로, 크기는 2.3테라바이트(TB)에 달한다.

정보보호산업계는 한온시스템이 정보보호 관리 체계를 재점검해볼 필요가 있다고 지적한다.

한 사이버위협 인텔리전스(CTI) 기업 관계자는 “회사 정보보호 시스템 문제인지 아니면 임직원이 공격을 당한 건지 정확한 확인이 필요하다”면서도 “한 회사가 세 번이나 랜섬웨어 피해자 명단에 오르는 일은 매우 이례적인 만큼 진단과 대응이 필요하다”고 말했다.

랜섬웨어 그룹 '헌터스 인터네셔널' 다크웨 캡처. 헌터스 인터네셔널이 탈취한 자료엔 자회사 '한온시스템이에프피코리아' 임직원 사원증 사진(왼쪽)과 최근 3년간 입사지원자 이력서 등 개인정보가 담겼다.
랜섬웨어 그룹 '헌터스 인터네셔널' 다크웨 캡처. 헌터스 인터네셔널이 탈취한 자료엔 자회사 '한온시스템이에프피코리아' 임직원 사원증 사진(왼쪽)과 최근 3년간 입사지원자 이력서 등 개인정보가 담겼다.

한온시스템은 사이버 침해사고를 인지하고 신고 및 피해 확산 방지에 나섰다고 밝혔다.

한온시스템 관계자는 “지난 11일 정보유출 사고를 인지하고 한국인터넷진흥원(KISA)에 신고하는 한편 12일 아산지역 임직원에게 개인정보 유출 사실을 개별적으로 통지하고 인트라넷에 공지했다”며 “명의도용 방지 서비스를 제공하고 외부 모니터링과 유출 데이터 회수 조치를 계속하고 있다”고 말했다.

조재학 기자 2jh@etnews.com