[핀셋+] [네패스그룹] '랜섬웨어' 말 안된다더니…네패스, 거짓해명 '들통'

HOME 산업 전기전자

핀셋+ 네패스그룹

'랜섬웨어' 말 안된다더니…네패스, 거짓해명 '들통'

앞에선 부인, 뒤에선 신고…전문가 "상장사라면 시장·주주에 알렸어야"

이 기사는 2026년 02월 09일 17시 02분 유료콘텐츠서비스 딜사이트 플러스에 표출된 기사입니다.

추천키워드

#네패스 #랜섬웨어 #KISA #해킹 #주주

실시간 속보 랭킹뉴스

[딜사이트 신지하 기자] 랜섬웨어 침해 의혹을 둘러싼 코스닥 상장사 네패스의 해명이 사실과 다른 것으로 확인됐다. 네패스는 침해사고를 인지해 관계기관에 신고했으면서도 외부에는 "말도 안 되는 얘기"라며 이를 부인해왔다.

특히 랜섬웨어 자체에 대한 설명은 피한 채, 해당 보도로 인한 사업상 피해와 법적 대응 가능성을 앞세우며 취재를 압박하는 듯한 태도까지 보여 논란을 키우고 있다.

딜사이트가 입수한 '네패스 침해사고 신고서'에 따르면 네패스는 지난해 12월6일 랜섬웨어 침해사고를 처음 인지했다. 피해 현황에는 '주요 서비스 장애'와 '회사 정보 유출'을 기재했다. 해커의 협박 여부 항목에는 '그렇다'고 체크했다. 네패스는 사고 인지 후 엿새가 지난 12일 한국인터넷진흥원(KISA)에 해당 사고를 신고했다.

네패스는 신고서에서 전체 백업을 진행해 피해 서버를 업무가 가능하도록 복구했으며, 현재 정상 운영 중이라고 밝혔다. 감염된 PC는 포맷 조치했다. 또 추가 피해 여부를 점검하기 위해 의심되는 PC와 서버에 대해서는 지속적으로 모니터링을 실시하고 있다고 했다.

관련기사 more

이병구·이창우 부자, 네패스·네패스아크서 보수 56억 챙겨 네패스, 대출 부담 호소에 이재명 반문 "증자 안하고 왜" 네패스아크, 특허 발명자 '1세' 허위 기재 논란 16년 파트너도 떠난 이리도스…새 대표는 2세 이창우

기업 내부 계정과 권한을 통합 관리하는 시스템인 AD(Active Directory) 사용 여부를 묻는 항목에는 '그렇다'고 기재했다. AD는 랜섬웨어 피해 확산의 핵심 경로로 지목되는 영역으로, KISA는 AD와 같은 중앙관리형 솔루션에 대한 보안 강화를 강조하고 있다.

이들 신고 내용은 본지가 지난해 12월 중순 네패스에 랜섬웨어 침해 여부를 수차례 질의했을 당시의 설명과 배치된다. 네패스 측은 "말도 안 되는 얘기"라며 의혹을 부인했다. 이미 해당 사안은 랜섬웨어 추적 사이트인 랜섬웨어닷라이브를 통해 공개됐고, 이후 국내 언론 보도와 SNS 등을 통해 상당 부분 알려진 상태였다.

랜섬웨어닷라이브에 따르면 네패스를 공격한 곳은 국제 랜섬웨어 조직인 '킬린(Qilin)'으로 전해졌다. 이들은 통상 시스템을 암호화한 뒤 복구 비용을 요구하며, 응하지 않을 경우 탈취한 데이터를 다크웹에 공개하겠다고 위협하는 것으로 알려졌다.

특히 네패스는 코스닥 상장사이자 국내 주요 반도체 OSAT(후공정) 업체로, 삼성전자를 비롯해 LG화학과 LG디스플레이 등 대형 고객사를 두고 있다. 이로 인해 시장과 주주들 사이에서는 이번 침해 의혹이 단순한 내부 문서 유출에 그치지 않고, 고객사와의 신뢰 문제로까지 번질 수 있다는 우려도 제기됐다.

하지만 네패스 관계자는 "현업으로부터 랜섬웨어 피해 여부와 관련한 공식적인 피드백을 받지 못했다"며 사고 인지 시점이나 관계기관 신고 여부조차 답변을 피했다. 또 "쿠팡과 같은 B2C 기업에서 개인정보가 유출된 사고와 네패스처럼 B2B 기업에서 발생한 사안을 두고 보는 관점이나 영향력은 많이 다르다"고도 했다.

현행 정보통신망법상 국내 기업이 랜섬웨어나 해킹 등 침해사고 발생 사실을 인지하면 24시간 내 KISA에 신고해야 한다. 이를 어길시 3000만원 이하의 과태료가 부과된다. 이번 네패스의 침해사고 신고서를 보면, 회사가 사고를 인지한 시점과 실제 신고가 이뤄진 시점 사이에는 상당한 시차가 있다.

네패스는 랜섬웨어 침해 여부를 기사화할 경우 법적 대응 가능성도 시사했다. 네패스 관계자는 "해당 보도로 인해 회사나 사업에 피해가 발생할 경우 대응이 필요할 수 있다"며 "언론중재위원회 제소나 소송 등도 검토할 수 있다"고 말했다.

이병구 네패스 회장과 이창우 부회장은 지난해 6월 발간한 '2024-2025 ESG 리포트'에서 "기술을 통해 사회적 가치를 창출하고, ESG 기반의 책임 있는 경영을 통해 고객과 사회, 미래 세대에 긍정적 영향을 전하겠다"며 "진정성 있는 소통으로 이해관계자와 함께 성장해 나가겠다"고 밝힌 바 있다.

하지만 실제 랜섬웨어 침해 대응은 이 같은 메시지와 거리가 멀었다. 네패스는 랜섬웨어 피해 의혹을 부인해온 데다, 사건이 외부에 알려진 뒤에도 관련 설명보다는 법적 대응 가능성을 먼저 언급했다. 상장사로서 주주와 시장의 혼선을 해소하는 데 주력하기보다는 경영이나 이미지 훼손에 대한 걱정이 더 컸던 모습이다.

윤주범 세종대 정보보호학과 교수는 "최근 국내에서 해킹 등 정보보안 사고가 반복되는 배경에는 관련 처벌이 미국 등 선진국과 비교해 상당히 약하다는 점도 영향을 미친다"며 "기업 입장에서는 보안에 투자하는 것보다 사고 발생 후 과태료나 벌금을 감수하는 편이 비용 측면에서 더 낫다고 판단하는 경향이 있다"고 말했다.

그는 또 "랜섬웨어나 해킹 피해 사실을 KISA 외에 시장이나 주주에게 알릴 법적 의무는 없을 수 있다"고 했다. 그러면서도 "상장사라면 해당 사안에 대한 영향을 우려하는 주주나 시장에 사실관계를 설명할 필요가 있다"며 "이를 부인하거나 숨기기에 급급한 태도는 바람직하지 않다"고 지적했다.

네패스는 이번 랜섬웨어 침해사고와 관련해 묻는 딜사이트의 질의에 답변을 하지 않았다.

신지하 기자 aabb@dealsite.co.kr