▲ 성심당 본점 케익부띠끄
전국에서 제일 유명한 빵집이라고 해도 과언이 아닌 대전 토종빵집 성심당이 지난달 온라인몰 해킹 공격으로 개인정보가 유출되는 등 유명세를 톡톡히 치르고 있습니다.
기업의 개인정보 보호책임이 갈수록 커가는 가운데 성심당도 몸집이 커진 만큼 기업 리스크를 줄이기 위해 내실을 다져야 한다는 지적이 나오고 있습니다.
오늘(24일) 수사당국 등에 따르면 지난달 3일 발생한 성심당 온라인 쇼핑몰인 '성심당몰' 해킹을 수사하고 있는 경찰은 사이트 접속 고객의 개인정보 유출 정황을 확인했습니다.
그동안 개인정보 유출 정황은 없다고 밝혀온 성심당은 유출 여부를 직접 확인하진 않았던 것으로 나타났습니다.
통상 기업이 해킹 공격을 받으면 자체적으로 개인정보 유출에 관해 확인을 하거나 개인정보보호위원회에 유출 여부에 대한 조사를 의뢰합니다.
성심당 측은 "고객들로부터 개인정보 유출로 인한 피해 신고가 들어오지 않은 점, 인터넷진흥원으로부터 유출 정황은 보이지 않는다는 답변을 받은 점 등을 근거로 유출 정황은 없다고 판단했다"고 밝혔습니다.
성심당은 이전에도 해킹 시도가 여러 번 있었다는 것을 인지하고 있었지만 결국 해킹 공격을 막아내진 못했습니다.
해킹 사실은 하루 반나절이 지나서야 알게 됐고, 온라인몰 폐쇄로 인한 서비스 이용 불편에 대한 사과만 있었을 뿐 웹사이트 해킹에 대한 직접적인 사과도 따로 없었습니다.
성심당몰 해킹 정황을 처음 포착한 디지털 범죄 대응 기업 라바웨이브 관계자는 "규모가 큰 기업은 웹사이트 점검을 수시로 하기 때문에 보안 취약점이 잘 발견되지 않지만, 성심당같이 IT 보안 전담 부서를 갖추지 못한 기업들은 웹사이트에 허점이 있을 가능성이 크다"며 "요즘은 디지털 범죄가 고도화되면서 교묘하게 웹사이트를 해킹하는 경우가 많아지기 때문에 기업들은 보안에 더 각별히 신경 써야 한다"고 설명했습니다.
우리나라도 기업들의 개인정보 보호책임이 강화된 만큼 개인정보 보호 의무를 다하지 않을 경우 기업 리스크로 이어질 수 있습니다.
성심당과 같이 대전에서 성장해 유명해진 골프존은 지난해 11월 랜섬웨어 공격을 받아 221만 명의 고객 개인정보가 유출된 바 있습니다.
개인정보보호위원회는 골프존이 고객의 개인정보 보호 의무를 다하지 않았다고 판단해 지난달 과징금 75억 원을 부과했습니다.
성심당의 지난해 매출액은 1천243억 원으로, 단일 빵집 브랜드 매출이 1천억 원을 넘긴 건 프랜차이즈를 제외하고 성심당이 처음입니다.
영업이익도 전년(154억 원) 대비 두 배 이상 증가한 315억 원을 기록하며 파리크라상(199억 원)과 CJ푸드빌(214억 원) 같은 대기업의 영업이익을 크게 웃돌았습니다.
몸집이 커진 만큼 개인정보 보호에 대한 책임도 다해야 한다는 지적이 나오는 이유입니다.
김형중 호서대 디지털금융경영학과 석좌교수는 "우리나라에서 기업의 정보 보호 책임에 대한 페널티(불이익)가 유럽연합(EU)의 개인정보 보호 규정(GDPR) 수준에 가깝게 강화됐다"며 "성심당이 아직 상장기업은 아니지만 사회적으로 명성을 얻은 기업인 만큼 개인정보 보호 문제가 기업의 리스크로 이어지지 않도록 민감하게 반응하고 대책을 세워야 할 필요가 있다"고 제언했습니다.
성심당 측은 "오프라인 시장에 주력했기 때문에 온라인몰에 많은 신경을 쓰지 못했는데 이번 일을 계기로 웹사이트 보안이 취약했던 부분을 강화하고 재단장하기 위해 준비하고 있다"면서 "해커의 공격으로부터 우리도 할 수 있는 한 최대한의 방어를 하기 위해 보안 전문 인력도 채용할 계획"이라고 밝혔습니다.
(사진=성심당몰 갈무리, 연합뉴스)