해킹 알고도 쉬쉬한 인터파크, 회원정보 유출 뒤에도 늑장대처

국내 대표 온라인쇼핑몰인 인터파크에 구멍이 뚫렸다. 특히 대규모 회원 정보 유출도 충격적인데, 늑장대처로 네티즌의 공분을 사고 있다.

인터파크는 APT(Advanced Persistent Threat·지능형 지속가능 위협) 형태의 해킹에 고객 정보가 침해당한 것을 최근 확인했고, 추가 공격을 막기 위한 비상 보안 시스템을 가동하고 있다고 26일 밝혔다.

지난 5월초 인터파크 전산망에 침투한 해커는 회원의 이름, 생년월일 등 개인정보를 빼간 뒤 이를 빌미로 30억원 상당의 비트코인(온라인 가상화폐)를 요구한 것으로 알려졌다. APT 해킹은 메일이나 웹문서를 통해 악성코드를 설치하고 오랜 기간 잠복하는 방식이다. 이번에 유출된 이름, 아이디, 이메일주소, 주소, 전화번호 등이 포함됐다. 인터파크 발표에 따르면 현재 피해 회원 수는 약 1030만명이다. 이는 전체 회원 수인 2000여만명의 절반에 달한다.

인터파크는 지난 11일 해커들의 협박 메일을 통해 해킹 사실을 인지한 뒤 13일 경찰에 고소장을 접수했다. 전산망이 뚫린 지 두 달이 넘어서야 그 사실을 인지한 것이다.

더욱이 인터파크는 대규모 고객 정보 해킹 사실을 알면서도 열흘이 넘도록 고객들에게 이를 알리지 않아 파문이 일고 있다. 심지어 홈페이지를 통한 공지도 지난 25일 오후 9시에야 이뤄졌다. 보도자료를 이날 오후 배포하고 나서도 한참 뒤에야 사과문을 올린 것이다. 개인정보가 유출된 회원들에 대한 개별 통보 또한 이메일을 통해 26일에야 이뤄졌다.

뉴스를 통해 먼저 개인정보 유출 사실을 알게 된 인터파크 회원들은 분통을 터뜨리고 있다. 한 네티즌은 "기사를 보고 깜짝 놀라 인터파크 홈페이지에 들어왔는데, 사과문은커녕 안내문도 없어서 기가 막혔다"고 분통을 터뜨렸다. "개인정보를 털린 사람 입장에선 한시라도 빨리 비밀번호를 바꿔 2차 피해를 막아야하는데, 인터파크의 늑장대처에 시간만 보냈다. 도대체 회원들의 개인정보를 보호해줄 생각이 있는 건지 의아하다"는 등의 비난도 쇄도하고 있다.

이와 관련 인터파크는 "주민번호와 같은 주요 정보는 유출되지 않았고, 경찰이 범인 검거 협조를 우선적으로 부탁해 공지를 하지 않았다"고 해명한 뒤 "물론 고객 정보를 지키지 못해 변명의 여지가 없다. 범인 검거와 정보 유통 방지를 위해 긴밀히 최대한 공조하겠다"고 밝혔다.

인터파크는 2015년 개인정보관리체계(PIMS) 인증을 획득한 바 있고, 이에 앞서 2012년 8월 인터넷 사업자의 개인정보보호 조치 의무를 강화한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안이 시행된 직후부터 회원의 주민번호 정보를 보관하지 않아 이번 공격에 주민번호는 노출되지 않았다고 설명했다. 피해 회원들에겐 도의적 차원에서라도 적극 보상에 나서겠다는 입장이다.

그러나 '뿔난' 회원들의 불만을 쉽사리 잠재울 수 있을지 미지수다. 온라인 공간엔 "해킹을 당하고도 그 사실을 두 달이 지나서야 아는 곳을 어떻게 믿고 개인정보를 줄 수 있냐. 회원탈퇴를 하겠다"는 등 불매운동을 벌이자는 의견 글이 줄을 잇고 있기 때문이다.

한편 미래창조과학부와 방송통신위원회는 인터파크 개인정보 유출사고의 원인을 조사하기 위해 미래부·방통위 공무원 및 민간 전문가로 구성된 '민·관합동조사단'을 구성해 조사를 실시한다고 밝혔다. 방통위는 개인정보 유출사고로 인한 이용자 보호를 위하여 개인정보 불법유통 및 노출 검색 모니터링을 강화하는 한편, 미래부는 침해사고 원인 분석과 더불어 개인정보 유출에 악용된 취약점 등을 보완·조치 할 수 있도록 기술 지원을 실시한다. 또한, 이번 사건으로 유출된 개인정보를 이용한 파밍·피싱 등 2차 피해예방을 위해 비밀번호를 변경하는 등 이용자 사이버사기 대처 요령을 숙지하고 주의를 기울여 줄 것을 당부했다. 전상희 기자 nowater@sportschosun.com