by정병묵 기자
2016.07.26 15:55:29
[이데일리 김현아, 정병묵 기자] 1000만명이 넘는 개인정보가 유출된 국내 최대 인터넷 쇼핑몰 인터파크(108790)가 사실상 보안 무방비 상태였던 것으로 드러났다. 또한 사건 발생 후 주무부처에 제대로 신고하지 않는 등 이에 따른 대규모 과징금 조치도 이어질 것으로 예상된다.
25일 관련 업계 전문가들은 인터파크가 통상적인 수준의 해킹 위협을 받았고 직원의 부주의로 참사가 일어난 것이라고 입을 모았다. 인터파크는 전날 ‘지능형 지속가능 위협(APT) 공격을 통해 1030만명의 회원 개인정보가 유출됐다고 밝혔다. APT 해킹은 메일이나 웹문서를 통해 악성코드를 설치하고 오랜 기간 잠복하는 방식이다. 이번에 침해당한 회원정보에는 이름, ID, 이메일주소, 주소, 휴대폰 번호 등이 포함됐다.
김승주 고려대 정보보호대학원 교수는 “얼마나 대단한 공격을 당했는지는 조사 결과가 더 나와봐야겠지만 전형적인 APT 공격으로 보인다. 인터파크 직원이 해커가 보낸 악성코드가 첨부된 이메일을 직접 열어 본, 부주의에 의한 사고”라며 “APT 공격은 통상 있고 어쩔 수 없이 당할 수밖에 없다고 이야기하는 경우도 있는데 이메일을 통해 당한 것을 보면 (인터파크의) 내부 시스템이 치밀하지 못했던 것 같다”고 말했다.
보안업체 하우리의 최상명 CERT실장은 “우리가 알고 있는 웬만한 기업들도 막상보면 보안 대비가 안 돼 있는 곳이 의외로 많다. 해킹을 당하기 전까지는 별로 신경을 안 쓰기 때문”이라며 “모니터링만 제대로 하고 있었어도 이상 징후를 잡을 수 있는데 직접 해킹당한 적이 없다 보니 평소 정보보안에 안이했던 측면이 있는 것 같다”고 강조했다.
인터파크는 보안 관제 전문 업체에 위탁하지 않고 자체 부서를 통해 운영해 왔다. 지난해 인터넷 전문은행 컨소시엄을 꾸렸고 예비인가의 문턱을 넘지 못해 백지화가 됐지만, 인터파크는 보안이 중요한 금융 사업에 도전하기도 한 업체라 더 빈축을 사고 있다.
특히 범인들이 돈을 요구할 때까지 회사 측이 몰랐다는 점은 비판의 여지가 많다. 13일 경찰에 정식 수사를 의뢰하고 나서 24일까지 11일 동안 고객에게 유출 사실을 알리지 않았다는 점도 앞으로 논란이 될 전망이다.
주용환 한국인터넷진흥원 단장은 “사태 발생 후 주무 부처에 신고하지 않았으며 전기통신사업법, 정보통신망법상 과징금 및 과태료 예상된다”며 “개인정보 유출 규모 자체가 너무 커서 조용히 넘어갈 수는 없을 것”이라고 밝혔다.
인터파크 측은 “경찰에 먼저 신고를 하고 범인 검거나 2차 유통에 관련된 방지 차원에서 다소 공백이 발생했다”며 “그 부분에 대한 패널티를 감수하겠다”고 해명했다.