|
서연이화는 이어 해커조직이 유출한 데이터에 개인정보가 유출된 것으로 확인된 임모 전무에 대해서도 지난해에는 서연오토비전 소속이었으며 현재는 그룹 고문으로 남아있다면서 서연이화의 임직원 정보 유출이 아니라고 선을 그었다.
아울러 서연이화는 이번 랜섬웨어 사건을 해결했으며, 전사적으로 보안을 강화하고 있는 상황이라고 설명했다. 구체적인 해결책에 관해서는 언급하지 않았다. 서연이화는 “주주나 투자자들이 불안감을 느낄 여지를 만들지 않겠다”고도 덧붙였다.
개인정보보호위원회에 따르면 서연오토비전은 26일 오전 랜섬웨어 감염으로 인한 정보유출 사고를 신고한 것으로 확인됐다. 이데일리의 지난 25일 보도 이후 신고한 것으로 보인다. 해커조직이 1차 정보를 유출한 것은 24일이었다. 기업은 개인정보보호법에 따라 개인정보 유출 사고가 발생했을 경우 사고 인지 후 72시간 내 개인정보위에 신고 및 통지해야 할 의무가 있다. 이에 따라 실제 정보가 유출된 서연오토비전이 제때 신고를 한 것이 맞다면, 유출 통지신고 의무 위반에 대해서는 개인정보위의 제재를 받지 않게 됐다. 다만 개인정보위의 조사를 통해 안전조치 의무 위반, 개인정보 파기 위반 등 이외 다른 개인정보보호법 위반 사항이 발견되면 과징금·과태료 부과 등 시정조치를 받을 수 있다.
한편 이번 해킹사고와 관련해 보안 전문가들은 해커조직이 서연이화 것이라고 주장하는 데이터의 출처가 어딘지 정확히 알 수 없다고 봤다. 외국인이 많은 해커들의 특성상 국내 업체명을 혼동하는 과거 사례도 있었다는 설명이다. 과거 S그룹을 상대로 사이버 공격을 감행한 랜섬웨어 해커조직이 자체 블로그에 타 계열사 로고를 올린 사례가 대표적이다.