이 기사는 2024년 09월 05일 08:05 thebell 에 표출된 기사입니다.

자동차 부품 제조 기업 경창산업이 해킹 피해로 곤혹을 치르면서 매출액 대비 보안 투자가 인색했던 것 아니냐는 지적을 피하기 어려워졌다. 경창산업이 지난해 보안에 투자한 금액은 약 2억9000만원으로 매출액의 0.04%에 불과했다.

4일 업계에 따르면 경창산업이 해킹 피해를 입었다. 해커 측은 총유출 규모를 1.8테라바이트(TB)라고 밝힌 상태다. 공용으로 사용하는 데이터와 일부 임직원의 PC 데이터가 유출된 것으로 추정된다.

경창산업은 현대·기아자동차, 폴스바겐, 크라이슬러 등에게 전기차 구동 모듈, 페달 등 부품을 납품하고 있는 자동차 부품 제조사다. 1961년 설립해 60년 이상 사업을 영위하고 있다. 코스닥에는 1994년 상장해 올해로 상장 30주년을 맞았다. 지난해 기준 연결 매출액은 6672억원에 달한다.

경창산업을 해킹한 것은 '언더그라운드' 랜섬웨어그룹이다. 랜섬웨어는 데이터를 암호화하거나 훔친 뒤 이를 인질로 삼아 금전을 요구하는 방식의 악성코드다. 언더그라운드는 2023년부터 피해 사례가 신고된 랜섬웨어로, 훔친 데이터를 다크웹 홈페이지에 공개하고 있다. 보안 업계에서는 2022년부터 활동한 인더스트리얼 스파이(Industrial Spy)의 후속그룹으로 추정하고 있다.

더벨은 경창산업 측에게 피해사실과 대응을 묻기 위해 연락을 취했으나 경창산업 측은 "누가 담당하는지 모르겠다", "IR 담당자는 출장 중이다"며 답변을 피했다.

현행법에서는 침해사고 발생시 피해 기업은 피해 사실을 알리도록 하고 있다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 개인정보보호법에서는 피해 사실 인지 후 24시간 또는 72시간 내 신고를 하지 않을 경우 3000만원 이하의 과태료를 부과하고 있다.

신고 접수처인 한국인터넷진흥원(KISA)은 "개별 기업의 피해 신고 여부를 알려주긴 어렵다"고, 개인정보보호위원회는 "경창산업과 관련된 피해 신고는 없다"고 밝혔다.


일차적인 잘못은 해커에게 있지만, 피해 기업인 경창산업에 대한 책임론도 부각된다. 2021년부터 시행된 정보보호 공시제도에 따라 일부 기업들에게는 보안 투자 현황을 공시할 의무가 주어진다. 경창산업 역시 의무 대상 기업으로 2022년부터 정보보호 현황을 공시 중이다.

경창산업의 정보보호공시에 따르면 경창산업은 2021년 2억원, 2022년 1억4000만원, 2023년 2억9000만원 등 3년간 약 6억4000만원을 보안에 투자했다. 같은 기간 경창산업의 연결 매출액은 5636억원, 6155억원, 6672억원으로 합계 1조8464억원이다. 3년간 매출액 대비 0.03%만을 보안에 투자했다. 인색한 보안 투자가 사고로 이어졌다는 비판을 피하기 어려운 이유다.

경창산업의 매출액은 2020년 4864억원에서 2021년 5636억원, 2022년 6155억원, 2023년 6672억원으로 우상향 곡선을 그리고 있다. 다만 올해 상반기에는 전년 대비 매출과 영업이익, 당기순이익 모두 감소했다.

보안업계 관계자는 "정보보호 공시는 기업들이 보안에 더 신경을 쓰라는 것과 함께 투자자들에게 신뢰할 수 있는 기업인지 알리는 의미도 담겨 있다"며 "제조업의 경우 유독 보안 투자가 저조하다. 침해사고에 대비한 적절한 수준의 투자는 비즈니스와도 직결돼 있는 만큼 더 관심을 기울여야 할 것으로 보인다. 상장 기업이라면 혼자만의 회사가 아니다"고 말했다.