[이데일리 정병묵 기자] 1000만명이 넘는 회원 개인정보가 유출된 국내 최대 인터넷 쇼핑몰 인터파크(108790)가 자체 보안관제를 통해 외부 공격을 막고 있었다는 점을 두고 논란이 일고 있다.
25일 인터파크는 ‘지능형 지속가능 위협(APT)’ 형태의 해킹에 1030만명의 고객 정보가 침해 당한 것을 확인, 경찰청에 신고해 경찰이 수사에 착수했다고 밝혔다. 1030만명은 인터파크 회원 수의 40%에 해당한다.
인터파크 관계자는 전문 보안업체에 위탁하지 않고 자체 부서를 통해 사이버 관제를 운영했다고 설명했다.
‘사이버원’이라는 보안업체를 통해 전문 파견 인력을 일부 활용하기는 했지만 직접 보안 관제를 운영해 왔다는 것이다. 보안 관제는 해커의 공격이 이뤄지는지 24시간 감시하는 서비스다. SK인포섹, 안랩 등 주요 보안업체들이 이 서비스를 운영하고 있다.
이를 두고 전문가들 사이에서는 의견이 분분하다. 보안에는 외부 전문 업체를 이용하는 것과 자체적으로 해결하는 것 중 정답은 없기 때문이다. 업체가 가장 정보보호를 잘 할 수 있는 방법을 택하는 게 최선인데 결과적으로는 잘 못 된 셈.
A 보안업체 관계자는 “수많은 회원을 보유한 인터파크가 제대로 하지 않으려고 직접 했겠나. 자신이 있었으니 직접 보안관제를 운영했을 것”이라며 “관제를 잘했다고 하더라도 개인의 부주의 때문에 뚫릴 수 있는 게 APT 공격이기 때문에 경찰의 수사 결과를 좀더 지켜봐야 정확한 과실 여부가 드러날 것”이라고 설명했다.
그러나 정보보호 관련 투자가 전반적으로 부족한 우리나라의 현실을 봤을 때 기업이 자체적으로 운영하는 것보다 전문 업체에 위탁했어야 하는 게 아니냐는 지적도 있다.
B 보안업체 관계자는 “개인정보보호가 무엇보다 중요한 금융권에서도 글로벌 기준 보안 투자 비중이 적은데 웬만한 업체는 직접 보안관제를 운영하는 것보다 전문업체아 맡기는 게 낫다”며 “실제 피해가 이뤄지더라도 위탁 업체의 과실로 드러나야 회사 쪽 피해 규모도 줄어들기 때문”이라고 강조했다.
한편 인터파크 측은 “이유 불문, 회사 측의 과실로 고객 여러분들께 피해를 드린 점 깊이 반성한다”며 “경찰 조사에 충실히 협조하고 원인을 규명할 것”이라고 말했다. 경찰은 협박에 이용된 이메일·피해전산망을 분석해 정보 유출경위를 규명 중이다.
▶ 관련기사 ◀
☞인터파크, 해킹공격에 고객정보 1030만건 유출…경찰, 수사 나서