그라운드원(대표 한재선)은 지난달 8일 외부 해커에 의해 공용 클라우드 계정을 탈취당하고 자사 클라우드 문서관리시스템에 저장된 업무용 파일을 도난당했다. 유출당한 문서에는 미디어 리스트, 파트너사 관계자, 오프라인 행사 참석자 등 2천여 명의 이름, 휴대폰번호, 이메일 등이 포함돼 있었다.

한편 이 회사는 유출 사고가 발생하고 거의 한 달이 지난 시점인 12월 2일 유출 사실을 고객들에게 통지해 비난을 받고 있다.

이번 개인정보 유출사고에 대해 개인정보보호위원회 측은 “개인정보보호법에도 유출사고 인지 즉시 관계기관에 신고하고 개인정보 주체에게 유출 사실을 통지해야 한다고 규정하고 있다. 이를 위반할 경우 3천만원 이하의 과태료 처분을 받게 된다”며 “내부 관리 소홀에 의한 계정유출로 인해 발생한 사고로 보이지만 다음주 개인정보위원회와 KISA 조사관이 들어가 자세히 조사를 진행할 예정이다”라고 전했다.

이어 “유출 사고에 대해 즉시 신고하라는 규정은 빠른 시간에 조사가 이루어져야 해킹 증거 채집이 가능하기 때문이다. 그라운드원이 카카오 계열사임에도 불구하고 이런 규정을 몰랐다는 것은 납득하기 어렵다. 최근 개인정보 유출사고에서 이렇게 늑장 신고는 처음 있는 사례다”라며 차주 조사시 진위파악을 하겠다고 밝혔다.

그라운드원은 카카오가 그라운드X 블록체인 사업을 확대하기 위해 2018년 설립한 회사로 블록체인 플랫폼 ‘클레이튼’을 기반으로 모바일 버전 암호화폐 지갑 ‘클립’을 출시해 카카오톡에 탑재한 바 있다.

이번 늑장 신고는 카카오 계열사라는 이름에 걸맞지 않게 보안에 기본이 안된 회사에서나 나올 만한 이슈다. ISMS-P 인증도 받지 않았고 개인정보보호 담당자가 제대로 있었다면 이런 결과는 나오지 않았을 일이다. 보안에 대한 투자와 인식 제고가 필요한 기업이다. 늑장 신고로 인해 2차 피해를 예방할 수 있는 시기를 놓쳤을 수 있다는 것을 알아야 한다.

★정보보안 대표 미디어 데일리시큐!★