데일리임팩트

[데일리임팩트 황재희 기자] 국내 1위 스크린 골프업체 골프존이 지난해 스크린 골프 사업으로 사상 최대인 6175억원을 벌어들였지만 정보보호투자에는 고작 매출의 0.32%를 지출한 것으로 드러났다. 

매출 규모에 비해 정보보호 전담 인력에 대한 투자도 낮았다. 최고정보보호책임자(CISO)나 개인정보보호최고책임자(CPO) 모두 임원급이 아닌 팀장급이 맡고 있는데다 관련 인력의 50%는 외주업체 소속이었다.  

정보통신업종을 영위하는 골프존이 그간 개인정보 관리 업무에 소홀했다는 게 밝혀지며 최근 해킹으로 발생한 고객 개인정보 유출 사고 역시 예견된 인재라는 지적이다. 

15일 업계에 따르면 전날 골프존은 최근 발생한 해킹사고로 고객 개인 정보가 유출됐다며 사과문을 올렸다.

골프존은 "최근 당사의 서버에서 전문해커로 추정되는 공격자에 의해 랜섬웨어 감염 상황이 발생했다"며 "당사는 침입탐지와 접근통제를 강화하는 등 보호조치를 취하며 정확한 사건 경위와 유출 규모 등을 파악하고 있다"고 설명했다.

다만 이번 사고로 얼마나 많은 고객들의 개인정보가 유출됐는지는 아직 확인되지 않았다. 현재 골프존의 회원수는 480만명, 때문에 피해 규모가 상당할 것으로 관측된다. 특히 회원 이름과 휴대폰 번호로 유출된 만큼 이를 활용한 스팸문자나 스미싱, 보이스피싱 등 2차 피해가 우려된다. 

앞서 골프존은 지난달 23일 랜섬웨어 공격으로 홈페이지와 모바일 앱 서비스가 중단됐었는데 당시에는 개인정보 유출에 대해 부인해왔다.

뒤늦게 개인정보 유출 사고를 인정하고 사과문을 올린 이유는 회사의 예상보다 피해 규모가 클 가능성이 있어서다. 골프존을 사칭하는 스팸문자가 증가하고나서야 회사는 유출사고를 대해 고객들과 공유했다. 민감정보를 다루면서 정보보안 주체로서 책임을 다하지 않은 셈이다. 정보통신산업 진흥법에 따르면 기업은 개인정보가 유출된 사실을 알게된 경우 72시간 이내에 정보주체에게 통지하고 관계기관에 신고해야 한다. 

문제는 골프존이 국내  스크린골프 사업을 거의 독점하면서 지난해  역대급 매출을 냈음에도 불구하고 개인정보 보호와 관리 의무는 뒷전으로 미뤘다는 점이다. 

올해 골프존이 정보보호 공시를 통해 공개한 정보보호 현황에 따르면 지난해 골프존의 정보기술부문 투자액은 약 422억원이었으나 정보보호부문 투자액은 약 20억원으로 4.9%에 불과했다. 

개인정보보호 전담 인력 규모도 현저히 적었다. 지난해 정보기술부문은 310명인데 비해 정보보호를 전담하는 인력은 11명에 그쳐 3.61%에 수준이었다. 그나마 2021년 7.8명이었던 내부 인력을 지난해는 5.8명으로 줄였는데, 외부인력은 같은 기간 1.3명에서 5.4명으로 늘렸다. 

개인정보 관련 업무 자체에 대한 위상도 역시 낮아질 수 밖에 없다. 2021년 골프존에서 최고정보보호책임자(CISO)나 개인정보보호최고책임자(CPO) 역할을 맡고 있던 직책은 연구소장으로 임원급이었다. 반면 지난해부터는 팀장급으로 지위가 낮아졌다. 같은 기간 정보보호를 위한 관련 활동 수도 줄었다. 2021년 22개였지만 지난해는 14개 수준이었다.

IT업계 관계자는 데일리임팩트에 "골프존의 경우 골프 시뮬레이터를 활용한 실내골프장 1위 사업자로 거의 경쟁사가 없을만큼 독보적인 위치"라며 "마케팅 문자 수신 약관동의를 하는 고객 대상으로 보험사, 신용카드사 등에 개인정보를 팔고 있는 걸로 알고 있는데 물론 이는 골프존만의 문제는 아니지만 개인정보가 여기저기 새어나갈 수 밖에 없는 구조라 더 관리에 철저했어야 했다"라고 지적했다. 

한편 골프존은 해당 사고와 관련해 관계당국에 신고하고 정확한 원인과 피해규모를 조사하고 있다. 피해 유출 규모가 파악되면 개인정보 보호 위반에 따른 과징금이 책정된다. 현행법상 과징금은 매출의 최대 3% 정도다.

지난해 골프존이 연결 기준 6175억원을 벌어들인 점을 감안하면 최대 약 185억원이 예상되고 있다.