해킹 인지 열흘 만에 늑장대응…기업 보안 불감증 ‘도마 위’
인터넷 종합쇼핑몰 인터파크에서 대규모 회원 개인정보가 유출된 것으로 뒤늦게 드러나 충격을 주고 있다. 이에 기업들의 소비자 개인 정보보호 불감증이 또다시 도마 위에 올랐고, 보다 근본적인 대책을 마련해야 한다는 목소리도 높아지고 있다.
경찰과 인터파크 등에 따르면 인터파크 회원 1030만명의 정보가 사이버 범죄에 의해 유출됐다. 회원의 이름, 아이디, 이메일주소, 주소, 전화번호가 새어나갔다. 주민번호와 금융정보 등은 포함되지 않은 것으로 알려졌다. 경찰에 따르면 이번 정보 유출은 해외에 서버를 둔 지능형 지속가능 위협(APT) 해킹 조직의 소행으로 추정된다. APT는 이메일 등을 통해 악성코드를 설치해 오랜 기간 공격을 하는 해킹 방식이다. 경찰은 해커가 지난 5월 인터파크 직원들에게 악성코드를 심어놓은 이메일을 보내는 수법을 쓴 것으로 보고 있다.
이번 사태와 관련해 인터파크 강동화 대표는 “고객정보를 지키지 못한 것에 대해 변명의 여지가 없다”며 “회원들께 머리 숙여 사과드린다”고 말했다. 하지만 1000만명이 넘는 고객정보가 유출됐고, 2차 피해가 우려됨에도 사실을 인지한 지 열흘 만에 회원들에게 공지한 데 대해 ‘늑장 대응’ 논란이 일고 있다. 인터파크는 지난 11일 고객정보 유출 사실을 폭로하겠다며 가상화폐 비트코인 30억원을 요구하는 협박 이메일을 받고나서 피해사실을 알게 됐다. 회사는 곧 경찰에 신고했지만 소비자들에게는 25일 공지를 통해 알렸다.
해킹을 당한 사실을 2개월 동안이나 까맣게 모르고 있었다는 점에서 기업의 보안 기술과 체계의 허점을 지적하는 목소리도 나오고 있다. 전문가들은 특정 대상을 표적으로 한 해커의 공격은 막기 어려운 것이 사실이지만 지속적인 모니터링 등을 통해 좀 더 빠르게 인지하고 대응할 수 있도록 시스템을 갖춰야 한다고 입을 모은다.
한편 미래창조과학부와 방송통신위원회는 공무원과 민간 전문가로 구성된 민관 합동조사단을 통해 인터파크 개인정보 유출사고 원인조사를 실시할 계획이다.
김명근 기자 dionys@donga.com 기자의 다른기사 더보기
