카카오 계열사에서 개인정보 수천건 유출…법정시한 넘겨 25일만에 통지·신고
2020-12-02 23:21
외부 저장소 그라운드X·그라운드원 업무파일 유출
"추가피해 방지 조치, 신고대상 분류·협의로 지연"
"추가피해 방지 조치, 신고대상 분류·협의로 지연"
카카오 블록체인 기술 계열사 '그라운드원'에서 이름과 연락처를 포함하는 개인정보 2000여건의 유출 사고가 발생했다. 회사측의 사후 대응은 현행 개인정보보호법상 '개인정보처리자'에게 부여된 의무를 충실히 따랐다고 보기 어렵다.
정보유출 피해 당사자 통지와 유관기관 신고 조치를 한 시점이 사건 발생 이후 3주 이상 지나 법정 시한을 초과했고, 그만큼 사법기관의 조사 역시 늦어졌다. 회사측이 밝힌 지연 사유는 유출 피해 신고 대상을 분류하기 위한 내부 협의 등이다.
그라운드원은 지난달 8일 신원을 알 수 없는 인물이 회사의 계정을 탈취해 업무용 클라우드 파일 저장소에 접속했고, 성명, 이메일, 전화번호 등 '개인정보 2000건'이 담긴 업무용 파일을 내려받았다고 2일 밝혔다.
그라운드원 측은 해킹 발생 후 조치에 대해 "관계법령에 따라 유관 기관에 신고를 하고 해당 계정의 접속차단, 내부 보안 강화 및 IP 통제, 지속적인 모니터링 조치를 취하는 등 피해 발생 예방 및 유사 사례 방지를 위해 최선의 노력을 다하고 있다"며 "강력한 내부 보안 시스템을 구축하고 임직원들을 대상으로 보안 교육을 강화하고 있다"고 설명했다.
법에 따르면 1000명 이상의 개인정보를 유출당한 개인정보처리자는 이를 안 즉시 서면으로 피해 당사자에게 유출 사고 발생을 통지해야 한다. 또 인터넷 홈페이지를 통해 7일 이상 이 내용을 게재해야 한다. 그리고 사고 인지 시점으로부터 5일 이내에 한국인터넷진흥원(KISA)과 개인정보보호위원회 등 유관기관에 신고해야 한다.
하지만 그라운드원은 개인정보 유출 사고 발생일로부터 25일만인 오늘에야 사고 발생 사실을 당사자들에게 이를 알렸고, 유관 기관에도 오늘 신고했다고 밝혔다. 현재 홈페이지에 개인정보 유출 사고 발생 사실을 이를 게재하지도 않고 있다. 수사기관의 조사가 시작됐는지도 불분명하다. 신고가 늦은 만큼, 사건에 대한 경찰 등 수사기관의 조사도 늦어질 전망이다.
그라운드원은 개인정보 유출 사고와 관련한 피해 당사자 대상 통지와 유관기관 신고 시점을 법정 시한의 3주 이상 늦췄다. 위반시 과태료 3000만원을 감수한 결정이다. 그 사유에 대해 회사 관계자는 "(신고에 앞서) 추가 피해 발생을 우려해 이를 방지하고자 내부적으로 선보안조치를 한다든지, 신고해야 할 대상을 걸러내는 분류 작업을 해야 했다"며 "그라운드원 내부에서 (신고 대상 분류를 위해) 협의하는 과정에서 지연된 측면이 있다"고 설명했다.
이날 그라운드원 관계자는 파일 유출자의 신원과 해킹이 발생한 배경에 대해 "파악되지 않았다"고 답했다. 회사가 3주 전 발생한 해킹 사건에 대해 법 위반 위험을 감수하면서까지 신고를 미루고 추가 피해 발생을 방지하기 위한 내부 조치를 진행해 왔지만, 여전히 원인은 알지 못한다는 얘기다. 해킹 발생 배경을 파악하지 못한 가운데 수행한 보안 조치가 실효성을 거둘 수 있을지, 같은 사고가 재발하지 않을 것인지 의문이다.
그라운드원 측 설명에 따르면 파일이 유출된 지점이 그라운드X에서 사용하는 업무용 외부 파일 저장소다. 이는 카카오엔터프라이즈에서 운영·관리하는 카카오 전사 표준 클라우드 기반 협업 및 업무자료 저장소와 무관하다. 또한 이 외부 저장소는 그라운드X가 제공하는 블록체인 플랫폼, 암호화폐 지갑 등 서비스 운영 환경과도 무관하다. 요컨대 이번 사고는 그라운드원이 그라운드X와 함께 카카오 계열의 IT인프라와 무관한 외부 업체 서비스를 업무용으로 쓰다가 발생한 문제다.
그라운드원은 일본 법인인 '그라운드X'가 100% 소유한 국내 법인이다. 그라운드X는 카카오의 블록체인 기술 계열사다. 자체 개발한 퍼블릭 블록체인 플랫폼 '클레이튼', 클레이튼 노드를 운영하지 않고 앱을 개발할 수 있게 해주는 서비스형 블록체인(BaaS) '클레이튼 API 서비스(KAS)', 클레이튼 기반 암호화폐 '클레이(KLAY)', 카카오톡 내 디지털자산 지갑 '클립' 등을 출시했다. 그라운드원은 이와 관련된 사업을 국내에서 수행하고 있다.
이날 그라운드원은 성명 및 전화번호와 이메일 등을 유출당한 피해자들에게 문자·이메일을 통해 개인정보 유출 피해 통지와 사과 메시지를 발송했다. 메시지로 "11월 8일 3시경 저희가 업무 목적으로 활용하고 있는 클라우드 기반 문서관리 시스템에 신원 불상의 자가 탈취한 계정을 활용해 접속하여, 저희가 직접, 혹은 Klaytn Pte. Ltd.의 수탁자로서 보관하고 있던 업무용 파일들 일부를 다운로드한 사실이 확인되었다"고 밝혔다.
회사측은 통지문에 "현재까지 유출정보를 악용한 사례는 확인되지 않고 있다"면서도 "유출정보를 악용한 것으로 의심되는 보이스피싱이나 스팸문자, 불법 텔레마케팅 등에 관하여 각별히 유의하여 주시기를 당부 드린다"고 썼다. 이어 "이와 관련하여 문의사항이 있으시거나 피해가 발생한 경우 총무팀으로 연락 주시면 필요한 사항을 안내해 드리고, 신속하게 대응하도록 하겠다"고 설명했다.
회사측이 통지문에 언급한 '클레이튼유한회사(Klaytn Pte. Ltd.)'는 싱가포르 소재 법인으로 클레이튼 기반 암호화폐인 '클레이'의 발행 주체다. 클레이튼유한회사의 지분 100%가 또다른 싱가포르 소재 법인 '판제아유한회사(Panzea Pte. Ltd.)'의 소유다. 이 회사의 지분 100%는 또 일본 법인 '카카오G(Kakao G)'의 소유다. 그리고 카카오G의 지분 100%를 카카오가 보유하고 있다.
정보유출 피해 당사자 통지와 유관기관 신고 조치를 한 시점이 사건 발생 이후 3주 이상 지나 법정 시한을 초과했고, 그만큼 사법기관의 조사 역시 늦어졌다. 회사측이 밝힌 지연 사유는 유출 피해 신고 대상을 분류하기 위한 내부 협의 등이다.
그라운드원은 지난달 8일 신원을 알 수 없는 인물이 회사의 계정을 탈취해 업무용 클라우드 파일 저장소에 접속했고, 성명, 이메일, 전화번호 등 '개인정보 2000건'이 담긴 업무용 파일을 내려받았다고 2일 밝혔다.
그라운드원 측은 해킹 발생 후 조치에 대해 "관계법령에 따라 유관 기관에 신고를 하고 해당 계정의 접속차단, 내부 보안 강화 및 IP 통제, 지속적인 모니터링 조치를 취하는 등 피해 발생 예방 및 유사 사례 방지를 위해 최선의 노력을 다하고 있다"며 "강력한 내부 보안 시스템을 구축하고 임직원들을 대상으로 보안 교육을 강화하고 있다"고 설명했다.
법에 따르면 1000명 이상의 개인정보를 유출당한 개인정보처리자는 이를 안 즉시 서면으로 피해 당사자에게 유출 사고 발생을 통지해야 한다. 또 인터넷 홈페이지를 통해 7일 이상 이 내용을 게재해야 한다. 그리고 사고 인지 시점으로부터 5일 이내에 한국인터넷진흥원(KISA)과 개인정보보호위원회 등 유관기관에 신고해야 한다.
하지만 그라운드원은 개인정보 유출 사고 발생일로부터 25일만인 오늘에야 사고 발생 사실을 당사자들에게 이를 알렸고, 유관 기관에도 오늘 신고했다고 밝혔다. 현재 홈페이지에 개인정보 유출 사고 발생 사실을 이를 게재하지도 않고 있다. 수사기관의 조사가 시작됐는지도 불분명하다. 신고가 늦은 만큼, 사건에 대한 경찰 등 수사기관의 조사도 늦어질 전망이다.
그라운드원은 개인정보 유출 사고와 관련한 피해 당사자 대상 통지와 유관기관 신고 시점을 법정 시한의 3주 이상 늦췄다. 위반시 과태료 3000만원을 감수한 결정이다. 그 사유에 대해 회사 관계자는 "(신고에 앞서) 추가 피해 발생을 우려해 이를 방지하고자 내부적으로 선보안조치를 한다든지, 신고해야 할 대상을 걸러내는 분류 작업을 해야 했다"며 "그라운드원 내부에서 (신고 대상 분류를 위해) 협의하는 과정에서 지연된 측면이 있다"고 설명했다.
이날 그라운드원 관계자는 파일 유출자의 신원과 해킹이 발생한 배경에 대해 "파악되지 않았다"고 답했다. 회사가 3주 전 발생한 해킹 사건에 대해 법 위반 위험을 감수하면서까지 신고를 미루고 추가 피해 발생을 방지하기 위한 내부 조치를 진행해 왔지만, 여전히 원인은 알지 못한다는 얘기다. 해킹 발생 배경을 파악하지 못한 가운데 수행한 보안 조치가 실효성을 거둘 수 있을지, 같은 사고가 재발하지 않을 것인지 의문이다.
그라운드원 측 설명에 따르면 파일이 유출된 지점이 그라운드X에서 사용하는 업무용 외부 파일 저장소다. 이는 카카오엔터프라이즈에서 운영·관리하는 카카오 전사 표준 클라우드 기반 협업 및 업무자료 저장소와 무관하다. 또한 이 외부 저장소는 그라운드X가 제공하는 블록체인 플랫폼, 암호화폐 지갑 등 서비스 운영 환경과도 무관하다. 요컨대 이번 사고는 그라운드원이 그라운드X와 함께 카카오 계열의 IT인프라와 무관한 외부 업체 서비스를 업무용으로 쓰다가 발생한 문제다.
그라운드원은 일본 법인인 '그라운드X'가 100% 소유한 국내 법인이다. 그라운드X는 카카오의 블록체인 기술 계열사다. 자체 개발한 퍼블릭 블록체인 플랫폼 '클레이튼', 클레이튼 노드를 운영하지 않고 앱을 개발할 수 있게 해주는 서비스형 블록체인(BaaS) '클레이튼 API 서비스(KAS)', 클레이튼 기반 암호화폐 '클레이(KLAY)', 카카오톡 내 디지털자산 지갑 '클립' 등을 출시했다. 그라운드원은 이와 관련된 사업을 국내에서 수행하고 있다.
이날 그라운드원은 성명 및 전화번호와 이메일 등을 유출당한 피해자들에게 문자·이메일을 통해 개인정보 유출 피해 통지와 사과 메시지를 발송했다. 메시지로 "11월 8일 3시경 저희가 업무 목적으로 활용하고 있는 클라우드 기반 문서관리 시스템에 신원 불상의 자가 탈취한 계정을 활용해 접속하여, 저희가 직접, 혹은 Klaytn Pte. Ltd.의 수탁자로서 보관하고 있던 업무용 파일들 일부를 다운로드한 사실이 확인되었다"고 밝혔다.
회사측은 통지문에 "현재까지 유출정보를 악용한 사례는 확인되지 않고 있다"면서도 "유출정보를 악용한 것으로 의심되는 보이스피싱이나 스팸문자, 불법 텔레마케팅 등에 관하여 각별히 유의하여 주시기를 당부 드린다"고 썼다. 이어 "이와 관련하여 문의사항이 있으시거나 피해가 발생한 경우 총무팀으로 연락 주시면 필요한 사항을 안내해 드리고, 신속하게 대응하도록 하겠다"고 설명했다.
회사측이 통지문에 언급한 '클레이튼유한회사(Klaytn Pte. Ltd.)'는 싱가포르 소재 법인으로 클레이튼 기반 암호화폐인 '클레이'의 발행 주체다. 클레이튼유한회사의 지분 100%가 또다른 싱가포르 소재 법인 '판제아유한회사(Panzea Pte. Ltd.)'의 소유다. 이 회사의 지분 100%는 또 일본 법인 '카카오G(Kakao G)'의 소유다. 그리고 카카오G의 지분 100%를 카카오가 보유하고 있다.