◇ 인터파크 자체 부서 통해 사이버 관제
‘지능형 지속가능 위협(APT)’ 형태의 해킹에 1030만명의 고객 정보가 유출되는 사고가 발생한 인터파크는 사이버 보안관제를 전문 보안업체에 위탁하지 않고 자체 부서를 통해 운영해 왔다. 보안 관제는 해커의 공격이 이뤄지는지 24시간 감시하는 서비스다. SK인포섹, 안랩 등 주요 보안업체들이 이 서비스를 운영하고 있다.
인터파크 관계자는 “‘사이버원’이라는 보안업체를 통해 전문인력을 일부 파견 받아 활용하기는 했지만 실질적으로는 직접 보안 관제를 운영했다”고 설명했다.
이를 두고 전문가들 사이에서는 의견이 분분하다. 보안에는 외부 전문 업체를 이용하는 것과 자체적으로 해결하는 것 중 정답은 없기 때문이다. 업체가 가장 정보보호를 잘 할 수 있는 방법을 택하는 게 최선인데 결과적으로는 잘못 된 선택을 한 것으로 드러난 때문이다.
A 보안업체 관계자는 “수많은 회원을 보유한 인터파크가 제대로 하지 않으려고 직접 했겠나. 자신이 있었으니 직접 보안관제를 운영했을 것”이라며 “관제를 잘했다고 하더라도 개인의 부주의 때문에 뚫릴 수 있는 게 APT 공격이기 때문에 경찰의 수사 결과를 좀더 지켜봐야 정확한 과실 여부가 드러날 것”이라고 설명했다.
그러나 정보보호 관련 투자가 전반적으로 부족한 우리나라의 현실을 봤을 때 기업이 자체적으로 운영하는 것보다 전문 업체에 위탁했어야 하는 게 아니냐는 지적도 있다.
B 보안업체 관계자는 “개인정보보호가 무엇보다 중요한 금융권에서도 글로벌 기준 보안 투자 비중이 적은데 웬만한 업체는 직접 보안관제를 운영하는 것보다 전문업체아 맡기는 게 낫다”며 “실제 피해가 이뤄지더라도 위탁 업체의 과실로 드러나야 회사 쪽 피해 규모도 줄어들기 때문”이라고 강조했다.
이와 함께 이번 사건에 대한 인터파크의 사후대응을 두고서도 논란이 제기된다.
인터파크는 지난 5월 전산망 해킹을 당하고도 지난 11일 해커들의 협박 메일을 직접 받기까지 약 2달간 자사에 대한 해킹 및 대규모 고객정보 유출사실을 인지하지 못했던 것으로 드러났다. 2000만명 이상의 회원을 보유한 온라인 쇼핑몰 회사가 두달간 해킹사실을 전혀 몰랐던 건은 평소 사이버공격 방어태세에 하자가 있었던 것 아니냐는 지적이 나온다.
인터파크는 지난 13일 경찰에 정식수사를 의뢰하고서도 지금까지 고객에게 정보유출 사실을 밝히지 않았다. 해커들이 탈취한 고객정보를 다른 용도로 이용하거나 가공 및 판매했을 가능성에 대비해 최대한 신속하게 고객에게 알려야했지만 그러지 않은 것이다.
만약 이날 오후 경찰의 공식적인 수사착수 발표가 없었다면 회사 차원에서 자체적으로 정보유출 사실을 공개했을 지 의문이 드는 대목이다. 인터파크 관계자는 이에 대해 “정보유출 사실을 바로 알리지 않은 것은 범인을 잡는 데 불이익이 있을 수 있고 수사당국과 조율하기 위해서”라고 해명했다.
한편 인터파크 측은 “이유 불문, 회사 측의 과실로 고객 여러분들께 피해를 드린 점 깊이 반성한다”며 “경찰 조사에 충실히 협조하고 원인을 규명할 것”이라고 공식 사과했다.
경찰은 협박에 이용된 이메일·피해전산망을 분석해 정보 유출경위를 규명 중이다. 미래창조과학부와 방송통신위원회도 민·관 합동조사단을 구성해 이번 사건의 원인을 조사키로 했다.