KT와 SK텔레콤, LG유플러스 등 우리나라 이통3사를 모두 고객으로 확보하고 있는 네트워크 보안 전문 기업인 윈스테크넷이 해킹 공격을 당하고도 1년 동안 침해 사실을 알아채지 못했던 것으로 드러났다. 회사는 그룹웨어에서 직원 개인정보가 유출된 사실을 뒤늦게 확인해 정부에 신고했다. 보안 기업마저 침해 사실을 장기간 인지하지 못한 채 운영한 사례가 나오면서 업계 우려가 커지고 있다.
20일 업계에 따르면 윈스테크넷은 지난해 11월 그룹웨어가 해킹 공격을 받았다. 이로 인해 유출된 정보는 그룹웨어에 저장된 직원 이름, 휴대전화 번호, 우편번호, 성별, 이메일 등 약 1000여명의 정보다.
윈스테크넷은 이 같은 사실을 올해 11월 19일 개인정보보호위원회에 신고했다. 회사는 최근 한국인터넷진흥원(KISA)에도 침해 사고 발생 사실을 전달했다.
업계 관계자는 “윈스테크넷은 개인정보가 유출된 지 1년이 지나서야 신고를 했다”며 “KISA가 먼저 관련 정황을 파악해 회사 측에 알린 것으로 안다”고 말했다. 현행법에 따르면 침해 사고 발생 시 24시간 안에 과학기술정보통신부 장관과 KISA에 신고해야 한다. 개인정보가 유출된 경우에는 72시간 안에 정보주체 통지 또는 개인정보위에 신고해야 한다.
개인정보위 관계자는 “전날 신고가 접수돼 아직 조사 초기 단계다”라며 “KISA 신고 내용 등을 종합적으로 검토할 예정이다”라고 말했다.
윈스테크넷 관계자는 “패치 작업 등 보완 조치를 현재 모두 마친 상태다”라며 “향후 정부 조사에 적극 협조하겠다”고 말했다.
한편 윈스테크넷은 1996년에 설립된 사이버 보안 기업으로 2003년에 코스닥에 상장했다. 올해 3월 회사명을 윈스에서 윈스테크넷으로 변경했다. 회사는 침입방지시스템(IPS)과 DDoS 차단시스템과 차세대 방화벽과 지능형 지속 공격(APT) 방어시스템 등 20여종의 보안 솔루션을 기업에 공급한다. 또 주요 이동통신사에 관련 장비를 납품하고 있으며 클라우드 보안과 보안관제, 보안컨설팅 등도 제공하고 있다. 윈스테크넷은 올해 3분기 매출 186억원과 영업이익 34억3000만원을 기록했다.
김광연 기자
fun3503@chosunbiz.com