/사진제공=이미지투데이
카카오(035720)의 관계사로 블록체인을 개발하는 그라운드X의 자회사 그라운드원이 해킹피해를 당해 고객들의 개인정보가 유출됐는데도 한 달 가까이 늦게 해당 고객들에게 이 사실을 알려 논란이 일고 있다. 개인정보보호법 제34조에 따르면 개인정보처리자는 개인정보가 유출됐음을 알게 됐을 때는 피해를 입은 정보 주체에게 유출된 개인정보 항목·유출 시점과 경위·개인정보처리자의 대응조치·피해 구제절차 등을 지체 없이 알려야 한다.
2일 그라운드원은 “지난달 8일 오전 3시경 업무 목적으로 활용하는 클라우드 기반 문서관리 시스템에 신원 불상의 사람이 탈취한 계정을 활용해 접속, 회사가 보관하고 있던 업무용 파일 일부를 다운로드한 사실이 확인됐다”고 밝혔다.
유출된 파일에는 고객들의 성명·이메일·전화번호 등 2,000여명의 개인정보가 포함됐다. 이 같은 사실은 회사측이 이날 오전 개인정보가 유출된 피해를 입은 사람들에게 이메일을 통해 통지하고 경찰 등 유관 기관에 신고하면서 알려졌다. 회사 측은 “직원이 보관하던 협력업체 직원·기자 연락처, 뉴스레터 구독자 리스트 등 파일을 열어본 것으로 보인다”며 “현재까지 유출 정보를 악용한 사례는 확인되지 않았지만 앞으로 보이스 피싱이나 스팸 등에 유의해 달라”고 당부했다.
2,000여명의 개인정보가 유출된 지 한 달 가까이 지나서야 피해자들에게 뒤늦게 사실을 공지한 것이다. 회사 측 주장과 달리 지난 한 달 가까운 시간 동안 개인정보를 이용해 이미 피해가 발생했을 가능성도 있다. 회사 측은 “고지가 늦어진 것은 사실”이라며 “회사 내부에서 먼저 보안 강화를 위한 선조치를 취하느라 고지가 늦어졌다”고 해명했다.
그라운드원은 늦장 고지에 따른 과징금 등 처벌을 받을 것으로 보인다. 개인정보보호위원회 관계자는 “개인정보 유출 시에는 법에 따라 피해 사실을 지체 없이 곧바로 알려야 한다”며 “그렇지 않은 경우 과징금 부과 등 처벌을 받는다”고 말했다.
/정혜진기자 madein@sedaily.com