랜섬웨어 공격받은 골프존, 미흡한 대처에 비판 목소리 계속돼... 보안사고엔 '멀리건'이 없다

랜섬웨어의 공격을 받아 홈페이지와 모바일 앱 서비스가 중단된 골프존이, 6일 만에 대부분 서비스를 정상화했다. 랜섬웨어의 감염 원인과 피해 내용은 아직 확인되지 않고 있는 가운데, 서비스 중단에 따른 가맹점과 이용 고객 보상 규모 또한 적지 않을 것으로 예상된다.

랜섬웨어 공격 받은 골프존, 초기 대응 비판 받아

골프존 공식 홈페이지와 모바일앱에 서비스 장애가 발생한 시점은 지난 23일 오전 8시경으로 알려졌다. 당시 골프존 모바일앱에 접속 시 ‘서버로부터 응답이 없습니다. 잠시 후 다시 시도해 주시기 바랍니다’라는 문구가 송출됐으며, 홈페이지에서는 ‘500 Internal Server Error’라는 오류 알림 메시지가 송출됐다.

골프존은 오류가 발생한 직후 서버 점검을 안내하며, 장애 원인을 분석과 정상화 시점을 안내했다. 하지만 골프존의 점검 시간은 계속해서 연장됐으며, 급기야 정상 시점에 대한 안내를 삭제했다. 24일 오후 8시께 골프존은 모바일 앱과 홈페이지가 랜섬웨어의 공격을 받아 서버 디스크가 파손됐다고 밝혔으며, 서버 복구까지 점검이 연장될 수 있음을 전했다.

반면 일각에서는 랜섬웨어 공격을 발표한 골프존의 대응에도 불만을 제기했다. 랜섬웨어는 피해자의 시스템을 감염시켜 데이터를 암호화하고, 이를 복구하는 대가로 ‘몸값(Ransom)’을 요구하는 악성 소프트웨어다. 일반적으로 공격자는 직접 가상자산 등의 지불을 요구하기에, 피해자는 랜섬웨어 감염 사실을 인지하게 될 수 밖에 없다.

하지만 골프존이 랜섬웨어 피해 사실을 밝힌 시점은, 24일 저녁 8시경이다. 이에 일각에서는 한국거래소 유가증권시장에 상장된 골프존과 지주사인 골프존뉴딘홀딩스가, 주식 거래시간을 피하고자 의도적으로 피해 사고 발표 시점을 늦췄을 수 있다는 의혹도 제기되고 있다.

정보보호 투자 우수기업, 랜섬웨어엔 '속수무책

골프존은 지난해 정보보안 예산에 20억 원이 넘는 돈을 집행했음에도, 랜섬웨어 공격을 막지 못한 것으로 나타났다. 30일 정보보호 공시 종합 포털에 따르면 지난해 말 기준 골프존의 정보보호 부문 투자액은 20억5000만원으로, 전년도 18억5000만원 대비 10.6% 증가한 것으로 집계됐다. 또한 2년 연속 정보보호 투자 우수기업(정보보호 관리체계 인증 또는 정보보호 준비도 평가 AA 등급 이상을 받은 자 중 정보보호 공시를 이행한 자)에 선정되기도 했다.

아울러 골프존은 한국인터넷진흥원(KISA)에서 부여하는 정보보호 관리체계(ISMS) 인증을 2년 연속 획득했으며, ▲AWS 보안 체계 고도화 ▲DLP(내부유출방지솔루션) 라이선스 갱신 ▲VDI(가상화시스템) 유지보수 ▲APT 탐지솔루션 유지보수 등 다양한 정보보호 활동을 진행하고 있음을 밝혀왔다.

반면 서버 디스크 파손으로 이어진 랜섬웨어 공격에는, 6일이란 기간이 소요됐다. 이에 <뉴스워커>는 골프존 측에 데이터 및 백업 서버 피해 가능성을 질의했으나, “데이터와 서버 관련 내용은 내부 정보로 전달이 불가능하다”라는 답변을 받았다.

한편 공시에 따르면 골프존의 보안 내부인력은 다소 감소했다. 정보보호 부문을 전담하는 외주인력은 5.4명으로 전년 동기 1.3명 대비 증가했으나, 내부인력은 7.8명에서 5.8명으로 감소했다. 아울러 정보보호 최고책임자(CISO)와 개인정보보호책임자(CPO)의 직급도 임원(연구소장)에서 부서장(팀장)급으로 변경됐다.

개인정보 유출 가능성은?

28일 골프존은 긴급 복구를 완료했으며, 골프존 앱 접속, 매장예약 등의 서비스를 정상화했다고 밝혔다. 이는 장애가 발생한 지 엿새 만이다. 골프존은 “지난 서비스 장애 복구 동안  회사의 모든 가용한 역량을 투입했다”라며 “장애 원인은 악의적인 랜섬웨어 공격으로 인한 서버 디스크 일부 파손으로, 불가피하게 서버 교체를 진행하게 됨에 따라 복구에 다소 오랜 시간이 소요됐다”라고 밝혔다.

이어 “향후 재발 방지를 위해 정보보호 투자 확대, 외부 보안 전문가를 통한 취약점 점검 및 사이버 보안을 강화해 같은 일이 발생하지 않도록 각고의 노력을 다하겠다”라며 “개인정보는 별도로 암호화해 관리하고 있기에 랜섬웨어 공격으로 인한 유출이 없었으나, 서비스 장애 현상을 악용해 골프존을 사칭한 피싱 문자가 불특정 일반인에 보내지고 있으니 주의를 당부드린다”라고 덧붙였다.

실제로 골프존의 서비스가 중단된 이후, 골프존을 사칭한 피싱 문자가 다수 유포되고 있는 것으로 확인됐다. 해당 내용에는 ‘그동안 골프존을 이용해 주심에 감사함과 이번 서버 문제로 인한 죄송함을 담아 소수 회원에게 골프존 주식 3주(27만 원 상당)를 선물로 드리고 있다’라며 메시지 답변을 요구하고 있다. 다만 해당 피싱 문자가 골프존 회원을 특정해서 발송됐는지는 확인되지 않았으며, 골프존 측은 무작위 이용자를 대상으로 발송된 것이라고 개인정보 유출 의혹을 부인했다.

다만 개인정보 유출 의혹과 관련해서는, 한국인터넷진흥원(KISA) 등 유관기관의 추가 조사가 필요할 것이란 주장도 제기되고 있다. 최근 랜섬웨어 공격은 사용자 파일을 암호화해 금전을 요구하는 동시에, 사용자의 개인정보를 탈취해 추가 피해를 발생시키는 경우가 다수 발견되고 있기 때문이다. 실제로 지난해 호주 최대 건강보험회사 메디뱅크에서는 랜섬웨어 공격으로 인해 고객 970만 명의 개인정보가 유출되는 피해가 발생하기도 했다.

보상 정책 수립하는 골프존, 4분기 실적 영향은?

골프존 관계자에 따르면 현재 피해 정도를 파악하여 보상 정책을 수립하고 있으며, 세부 내용이 정리되는 대로 보상금 지급에 대한 안내를 전달할 예정이다. 이번 피해로 가맹점과 이용 고객의 피해는 수십억 원 이상에 달할 것이 예상되며, 이에 따라 골프존의 4분기 실적에도 상당한 영향을 미칠 전망이다.

앞서 골프존은 지난 2019년 7월 자체 운영체제(OS)인 비전과 투비전 전산망 오류로 2시간 20분 동안 서버 오류가 발생했으며, 이에 따라 전국 4,900여 개 매장의 서비스가 모두 중단됐다. 당시 골프존은 각 매장의 영업손실분 보다 약 3배 많은 보상금을 지급했으며, 당시 점주 협의체는 30억 원 이상의 피해를 주장한 바 있다. 또한 지난 1월 골프존은 이용자 급증으로 서버에 오류가 발생해 오후 12시 경 부터 약 3시간 동안 긴급 점검을 진행하기도 했으며, 당시에도 점주와 이용 고객 모두에 보상을 진행한 것으로 알려졌다.

다만 이번 서비스 중단 사고는 닷새 동안 지속했단 점에서, 보상 규모는 2019년 대비 최소 수십 배에 달할 것으로 전망된다. 상대적으로 이용 고객이 몰리는 주말에 발생했으며, 피해를 본 매장의 수도 2019년 대비 900여 곳가량 증가했기 때문이다. 아울러 엿새 동안 이용자들이 경쟁사를 이용했을 가능성을 고려하면, 산술적인 수치 이상의 피해가 발생했을 우려도 있다.

또한 4분기 실적에도 상당한 영향을 미칠 것이 예상된다. 17일 금융감독원 전자공시시스템에 따르면 연결기준 지난 3분기 골프존의 매출액은 1700억원으로 전년 동기 1760억원 대비 3.4% 감소한 것으로 집계됐다. 올해 3분기 영업이익은 275억원으로 전년 동기 449억원 대비 38.7% 감소했으며, 당기순이익은 214억원으로 전년 동기 365억원 대비 41.4% 감소했다.

신한투자증권 이병화 연구원에 따르면 3분기 실적 하락의 배경은 해외 판관비 증가와 GDR 매출 감소로 분석된다. 가맹사업 매출은 전년 동기 대비 20.4% 증가한 847억원을 기록하며 견조한 수익을 기록했으나, GDR 부문 매출은 이연된 매출이 발생해, 전년 동기 대비 62.9% 감소한 132억원을 기록했다. 반면 4분기 랜섬웨어 피해로 인한 시스템 장애 보상금 지급이 반영될 경우, 이연된 GDR 매출 반영에도 큰 실적 개선을 기대하긴 어려울 것으로 우려되고 있다.