약 1030만건의 개인정보 유출 사건이 발생한 인터넷 쇼핑몰 인터파크의 개인정보 관리에 대한 총체적 부실이 속속 드러나고 있다.
허술했던 사전 관리, 2달이 지나서야 해킹 사실을 알게 된 것은 물론 인터파크가 사건 발생 뒤 공지도 없이 개인정보 유출 책임을 피하기 위해 약관을 변경하려 했다는 사실 등이 알려지자 개인정보 유출 피해자들의 공분을 사고 있다.
특히 사건 발생 뒤 개인정보 관리 유관기관과의 광범위한 공조 체계를 마련하지 않았다는 점에서 개인정보 관리 당국의 안일한 사후 대응에 대한 지적도 나온다.
◆ 해커 협박 있기 전 2달 동안 몰랐던 해킹...발견 후에도 ‘쉬쉬’
지난 25일 인터파크는 “지능형 지속 위협(APT·Advanced Persistent Threat) 방식의 해킹에 의해 고객 정보가 침해당한 사실을 확인했다”고 공식적으로 인정했다. 인터파크의 발표 뒤 경찰과 미래창조과학부, 방송통신위원회 등 관계 당국이 민관합동조사단을 꾸려 조사를 진행중이다.
이번 해킹으로 약 1030만건의 고객 정보가 유출됐다. 여기에는 회원의 이름, 아이디, 주소, 이메일, 전화번호 등이 포함됐다. 주민등록번호의 경우 인터넷 사업자가 주민등록번호를 보관하지 않도록 하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 개정안이 2012년 8월 시행돼되면서 유출되지 않았다.
경찰은 해커가 다수의 인터파크 직원에게 악성코드를 심은 메일을 보내는 APT 방식을 이용해 해킹했을 것으로 추정하고 있다. APT 해킹 방식은 메일이나 웹 문서를 통해 악성코드를 설치한 뒤 오랜 기간 잠복했다가 정보를 빼내는 방식이다.
조사에 나선 경찰청 사이버안전국에 따르면 지난 5월 국외 인터넷주소(IP)를 통해 해커가 인터파크 서버를 공격해 정보를 빼낸 정황을 확인했다. 하지만 인터파크는 지난 7월 11일 해커가 ‘해킹 사실을 숨기고 싶다면 30억원 상당의 비트코인을 달라’고 협박하자 비로소 해킹 사실을 알게 됐다. 결국 해킹은 5월에 이뤄졌지만 인터파크는 2달 동안 고객의 개인정보가 담긴 자사의 서버가 해킹됐다는 사실을 전혀 모르고 있었던 것이다.
이와 관련 인터파크는 “이번 해킹의 경우 특정 타깃을 대상으로 장기간 동안 다양한 방식으로 이뤄졌기 때문에 쉽게 파악하기 어려웠다”고 해명했다. 해킹 방식에 대해서는 현재 미래부가 조사중이다.
해킹 사실을 알게 된 뒤에도 고객에게 바로 알리지 않고 책임 회피를 위한 약관 변경을 몰래 시도했다는 사실이 알려지면서 ‘대규모 인터넷 쇼핑몰 업체가 책임을 면하려고 꼼수를 부렸다’는 비난이 인터파크에 빗발치고 있다.
인터파크는 해킹 사실을 공지하기 전인 지난 20일 약관 변경을 시도했다. ▲회원이 자신의 ID와 비밀번호를 관리해야 하며 ▲회원이 자동로그인, 소셜네트워크서비스(SNS) 연동 로그인 등 ID를 부주의하게 관리하거나 타인에게 양도, 대여해 발생한 손해에 대해 회사가 책임지지 않는다는 게 핵심 내용이었다.
이같은 사실이 알려지고 비난의 강도가 높아지자 인터파크는 26일 변경된 약관 적용을 잠정 연기했다. 인터파크는 “약관 변경은 이번 개인정보 유출 사건과 관계없이 진행된 것”이라며 “다른 업체들도 서비스 중인 페이스북이나 카카오톡 같은 주요 소셜네트워크(SNS) 계정으로 쉽게 로그인 하는 서비스 도입을 위한 공지였다”고 해명했다.
인터파크의 대응에 분노한 개인정보 유출 피해자들은 집단소송을 준비하는 인터넷 카페까지 만들어 대응방안을 논의중이다. 이 카페의 회원수는 현재 5000명을 넘었다.
인터파크 가입자인 이학수(35)씨는 “비밀번호나 주민번호가 아니더라도 생년월일이나 전화번호 등은 쉽게 바꿀 수 없는 정보들인데 유출된 후 ‘죄송하다’는 사과 이후에 별다른 대책이 없는 것은 황당한 일”이라며 “해킹 사실을 2개월이나 늦게 알게 된 것도 이해하기 어렵고, 곧바로 공지하지 않아 2차 피해 발생도 우려된다”고 말했다.
◆ 허술했던 ‘망 분리’…유관기관 공조체계 구성도 ‘구멍’
사건의 파장이 커지자 인터파크의 허술한 개인정보 관리 시스템에 대한 문제제기도 지속적으로 나오고 있다.
먼저 인터파크 내부의 통신망 관리가 허술했다는 지적이 나온다. 보통 인터넷 사업자들은 내부 전산용 망(이하 내부 망)과 외부 인터넷 망(이하 외부 망)을 분리해 관리한다. 이 때 내부 망 전용 컴퓨터와 외부 망 전용 컴퓨터도 분리해 운용한다. 실제로 정부기관들은 내부 망 전용 컴퓨터가 외부 망에서는 연결되지 않도록 해둔다.
인터파크도 내부 망과 외부 망을 분리해두긴 했다. 그러나 내부 망 전용 컴퓨터와 외부 망 전용 컴퓨터를 분리하지 않았다는 사실이 드러났다. 내부 망 컴퓨터 일부를 제외하고는 대부분 직원이 PC 한 대로 내외부망을 모두 이용할 수 있게 해둔 것이다. 이 때문에 직원의 PC가 악성코드에 감염되자 내부망에 있던 고객정보까지 유출됐다는 지적이다. 기본적인 물리적 망 분리 원칙을 실행하지 않아 더 쉽게 뚫린 셈이다.
해킹 사실을 파악한 뒤 개인정보 관리 유관기관과의 신속하고 광범위한 조사 체계를 구성하지 않았던 점도 문제점으로 드러났다. 인터파크는 지난 11일 해킹 사건을 알게 된 후 경찰에 신고했다. 인터파크는 “2차 피해 발생을 막기 위해 범인과 협상을 전개하고 경찰 측에 단서를 제공하고 있었다”고 설명했다.
해킹 피해사실을 인지한 업체는 24시간 내에 유관기관에 신고하도록 돼있다. 하지만 인터파크는 개인정보 관리 유관기관인 행정자치부와 방송통신위원회, 미래창조과학부, 한국인터넷진흥원 등과 광범위한 수사 공조 체계를 꾸리지 않았던 것으로 알려졌다. 경찰에만 수사를 맡긴 상황이었던 만큼 더 철저한 공조 대책을 마련하거나 고객들에게 해킹 사실을 바로 알렸어야 한다는 비판을 피하기 어려워 보인다.
이경호 고려대 정보보호대학원 교수는 “망 분리는 물리적으로 내부 망과 외부 망을 분리해 사용하거나 한 PC에서 사용하더라도 논리적으로 내외부망 접근을 분리하는 방식이 있는데, 외부 인터넷 망에서 내부 망으로 파일 전송이 가능했다면 문제가 될 수 있다”며 “해킹을 인지한 시점, 방식, 망 관리 문제 모두 미래부 등 관련 기관의 조사 결과가 나와야 명확하게 알 수 있을 것”이라고 말했다.