연이은 산재 사망 사고로 논란을 빚고 있는 포스코이앤씨에 또다른 악재가 닥쳤습니다. 최근 기업을 가장 공포로 몰아넣는 '개인정보 유출' 사건이 터졌습니다.

포스코이앤씨가 위탁 운영해 온 협력사 안전교육 사이트가 해킹돼 협력사 직원들의 개인정보가 다크웹에 유출된 사실이 뒤늦게 확인됐습니다. 회사는 한국인터넷진흥원(KISA)의 통보를 받기 전까지 피해 사실을 인지하지 못했던 것으로 나타나 비판이 커지고 있습니다.

19일 포스코이앤씨와 안전교육 위탁사인 안전하는사람들에 따르면, 이번 사고는 '포스코이앤씨 협력사 안전교육' 홈페이지에서 발생했습니다. 유출된 정보는 협력사 직원의 ID와 암호화된 비밀번호, 이름, 직책, 휴대전화 번호, 협력사명, 접속 IP, 이메일 등 총 12개 항목입니다. 본사 임직원의 개인정보는 포함되지 않았습니다.

포스코이앤씨 송도사옥 / 뉴스1

포스코이앤씨는 이달 14일 오후 12시 50분쯤 사고 사실을 인지했으며, 다음 날인 15일 오전 9시께 KISA에 해킹 피해 신고를 접수했습니다. 앞서 KISA는 다크웹에서 개인정보 유출 정황을 포착한 뒤 웹호스팅 업체에 이를 통보했고, 해당 내용은 홈페이지 위탁 운영사를 거쳐 포스코이앤씨 측에 전달된 것으로 전해졌습니다.

회사는 KISA 신고 이후 해당 웹사이트를 폐쇄했으나, 경찰에는 별도의 수사 의뢰를 하지 않았습니다. 당국의 통보 이전까지 해킹 사실을 파악하지 못한 탓에, 사측은 정확한 해킹 시점과 피해 규모를 특정하지 못하고 있는 상황입니다.

실제로 포스코이앤씨는 KISA에 제출한 신고서에서 사고 발생 시간을 '확인 불가'로 기재한 것으로 전해졌습니다. 피해 IP 역시 '확인 불가' 상태로 남아 있습니다. 피해 사실을 인지하기 전 이상 징후에 대해서도 '모름'이라고 기재했습니다.

포스코이앤씨는 해킹 발생 시점을 이달 13일 전후로 추정하고 있습니다. 다만 내부 시스템이 아닌 외부 위탁 운영 시스템에서 사고가 발생해 자체적인 확인에 한계가 있었다는 설명입니다.

포스코이앤씨 관계자는 "사고 발생 시점은 13일로 추정하고 있으나, 외부 시스템에서 발생한 해킹이어서 구체적인 시점과 경로를 자체적으로 확인하는 데 어려움이 있었다"며 "KISA가 정보 유출 사실을 먼저 확인했고, 이를 인지하는 즉시 필요한 조처를 했다"고 밝혔습니다.

포스코이앤씨 송도 사옥 전경 / 사진제공=포스코이앤씨

유출된 개인정보가 다크웹을 통해 유통된 만큼, 향후 보이스피싱이나 스미싱 등 2차 피해로 이어질 가능성도 배제하기 어렵다는 우려가 나오고 있습니다.