Focus

[끊이지 않는 개인정보 유출 사고] 그 흔한 수법에 또 당하다니… 

인터파크 고객 절반 정보 해킹 당해 ... 망분리 소홀 등 의혹 

박상주 기자 sangjoo@joongang.co.kr

▎해킹으로 1030여만 명의 개인정보가 유출된 서울 삼성동 인터파크 본사.
한국의 첫 인터넷 종합 쇼핑몰 인터파크가 우울한 창립 20주년을 맞을 전망이다. 지난 5월 인터파크 서버가 해킹 당해 고객 1030여만 명의 개인정보가 유출됐기 때문이다. 인터파크는 이번 사건으로 과징금에 이어 집단소송까지 걱정해야 할 위기에 처했다. 전체 회원 수 2000만 명 가운데 절반이 넘는 개인정보가 유출된 사건이다. 대량의 개인정보 유출로 쇼핑몰의 신뢰도에 금이 가 인터파크는 오랜 기간 영업에 타격을 입을 수 있다.

7월 25일 인터파크는 서버에 저장된 고객 이름, 아이디, 주소, 전화번호 등이 유출됐다고 홈페이지를 통해 알렸다. 인터파크는 7월 11일 APT형태 해킹으로 고객정보 일부가 침해 당했다는 사실을 인지한 후 경찰청 사이버 안전국에 신고해 공조를 시작했다고 밝혔다. 인터파크는 주민등록번호와 금융정보 등 좀 더 심각한 개인정보는 유출되지 않았으며, 비밀번호는 암호화돼 있어 설령 유출됐다 하더라도 안전하다고 주장했다.

개인정보 유출도 문제지만 더 기막힌 건 이번 사건에 대한 인터파크의 대응 과정이다. 첫째, 해킹이 일어난 지 두 달이 지나서야 그 사실을 알았다. 평소 서버와 개인정보 관리에 무심했단 지적이다. 인터파크 측은 한 라디오 방송을 통해 “해킹 사실을 두 달 동안 몰랐다”고 시인하며 “APT방식의 해킹으로 판단하고 있는데, 이런 해킹은 쉽게 파악하기 어렵다”고 변명했다.

둘째, 해킹 사실을 인지한 후에도 2주 동안이나 사건 발생에 대해 침묵했다. 인터파크는 7월 11일 해커 집단으로부터 금품을 요구하는 e메일을 받고 나서야 해킹 당한 사실을 알아챘다. 해킹 집단은 인터파크에 30억원 상당의 비트코인을 요구했다. 그러나 25일 피해를 공표하기 전까진 대외에 침묵으로 일관했다. 경찰에 사건을 신고한 직후 해킹 사실을 알리지 않은 데 대해 인터파크 측은 “범인 검거를 통해 회원들의 2차 피해를 막는 것이 최우선이라고 판단했다”며 “2주 동안 범인과 수 차례 협상을 전개하며 경찰 측에 단서를 제공했다”고 주장했다.

그러나 인터파크는 과징금 처분에서 벗어나기 어려울 전망이다. 대중에 공개하지 않았더라도 방송통신위원회나 한국인터넷진흥원(KISA)에는 신고해야 했다. 정보통신망법 제27조에 따르면 정보통신서비스 제공자는 개인정보 분실·도난·유출 사실을 안 후 24시간 이내에 KISA나 방통위에 신고해야 한다. 정당한 사유 없이 24시간을 어겨 통지하면 최대 3000만원의 과태료가 부과된다.

집단소송 대비한 약관변경?


셋째, 사건에 대해 공개하지 않고 있는 동안 인터파크가 자신들에게 유리한 방향으로 약관을 변경했다는 의혹이 일고 있다. 지난 7월 20일 인터파크는 자사 사이트를 통해 약관 변경을 알렸다. 변경된 내용은 약관 제2장 8조 3항이다. ‘회원이 자신의 ID 및 비밀번호 또는 개인정보 등을 도난 당하거나 제3자가 사용하고 있음을 인지한 경우에는 바로 회사에 알리고 회사 안내에 따라야 한다’는 내용이다. 또 8조 4항에서는 ‘회원은 선량한 관리자의 주의의무로 자신의 ID와 비밀번호를 관리하여야 하며, 회원이 자동로그인, SNS연동로그인 등 ID를 부주의하게 관리하거나 타인에게 양도, 대여함으로써 발생한 손해에 대하여 회사는 어떠한 책임도 부담하지 않는다’고 약관을 변경했다. 이 약관 변경이 개인정보 유출 피해자에게 불리하게 작용할 수도 있단 지적이다.

이에 대해 인터파크 측은 “오해”라고 해명하고 있다. 이용약관 일부 변경 사실을 인정하면서도 “개인정보 유출과 관련한 것이 아니라, SNS를 통한 간편 로그인 서비스를 위해 사전에 기획된 약관변경”이라고 설명했다. 또 “불필요한 오해를 방지하고자 해당조항은 아예 삭제했고 도입 시점은 유보하기로 했다”고 밝혔다.

한편, 미래창조과학부와 방송통신위원회는 ‘민·관합동조사단’을 구성해 이번 개인정보 유출 사고의 원인을 조사하기로 했다. 민·관합동조사단은 조사결과에 따라 인터파크의 정보보호 조치가 미흡하다고 판단되면 과징금을 부과할 수 있다. 정보통신망법 제64조에 따르면 과징금 규모는 위반행위와 관련된 매출액의 3% 이하다. 인터파크의 매출액 산정이 어려울 경우 4억원 이하에서 정액으로 과징금을 매길 수 있다. 지난해 9월 해킹으로 회원 190만 명의 개인정보가 유출된 온라인 커뮤니티 ‘뽐뿌’의 경우 개인정보 보호조치가 미흡했단 이유로 방통위로부터 과징금 1억200만원의 제재를 받았다.

기업이 해야 할 개인정보 보호조치는 주로 침입차단시스템이나 백신 소프트웨어 설치, 암호화 기술 등이다. 방통위 고시에 따르면, 개인정보처리시스템에서 개인정보 접근 권한을 가진 정보 취급자의 컴퓨터는 데이터베이스(DB)와 물리적·논리적으로 구분해야 한다. 사내 전산망과 외부 시스템을 분리하는 ‘망 분리’를 해야 한단 의미다. 보안전문가에 따르면, 인터파크는 ‘망분리’에 소홀해 개인정보관리에 일정 부분 책임이 있다. 이번 사건에선 인터파크 내부 직원의 PC가 악성코드에 감염됐고, 해커는 이를 통해 분리돼있지 않은 내부 DB에 침입할 수 있었다. 이에 대해 인터파크 측은 망분리를 했다는 입장이다. 지난해 개인정보관리체계(PIMS) 인증을 획득하는 등 보안 노력을 기울였다고 설명했다.

[박스기사] 반복되는 APT 해킹 사건 - KT·옥션·네이트·넥슨도 똑같이 당해

인터파크 개인정보 유출 사건 수법은 APT(지능형 지속가능 위협, Advanced Persistent Threat) 해킹으로 알려졌다. APT 해킹은 e메일이나 웹문서를 통해 숙주 컴퓨터에 악성코드를 설치한 후 오랜 기간 잠복해 있다가 원하는 날짜와 시간에 특정 정보를 미리 지정한 e메일 주소로 자동 전송해 정보를 유출한다. 비슷한 유형의 개인정보 해킹은 자주 있었다. 그러나 여러 기업은 자신의 회사에서 직접 소를 잃기 전까진 외양간을 고치지 않고 강 건너 불구경만 하고 있었다.

인터파크 외에도 대형 개인정보 유출 사건은 자주 일어났다. 단일 피해로 가장 많은 개인정보가 유출된 사건으로는 지난 2014년 1월 KB 국민카드의 5300만 명 개인정보 유출이 있다. 카드회사의 개인정보 유출 사건으로 신용정보회사 KCB의 직원이 계획적으로 유출한 정보를 팔아 넘긴 사례다. 인터파크와 유사한 APT 해킹으로 KT와 네이트, 넥슨 등도 해킹 당한 적이 있다. KT는 홈페이지를 해킹 당해 1170만 명의 고객정보가 유출됐다. 네이트와 넥슨, 옥션도 APT공격으로 해커에게 개인정보를 내줬다.

개인정보 유출은 또 다른 피해를 불러일으킬 수 있다. 개인정보가 인터넷 암시장에서 거래돼 추가 범죄에 활용될 수 있기 때문이다. 실제 KT 고객센터 홈페이지 해킹사건 등으로 인한 2차 피해는 사건이 발생한 지 2년이 지난 후에도 금융소비자원에 피해신고가 접수되고 있다. 이 때문에 KT는 피해자들에게 10만원씩의 배상금을 내야 한다.

KB국민카드·롯데카드·NH카드 등은 2014년 도합 1억건 이상의 개인 정보를 유출시켰다. 이와 관련해 법원은 KCB직원이 계획적으로 유출한 정보를 팔아 넘긴 점 등을 참작해 원고 일부 승소판결을 내렸다. 옥션은 7년 간 법적 공방 끝에 집단소송에서 벗어났다. 옥션은 사건이 일어난 2008년 당시 기술 수준에서는 개인정보 보호 조치 의무를 다했다는 판결을 얻어냈다.

1346호 (2016.08.08)
목차보기
  • 금주의 베스트 기사
이전 1 / 2 다음