인터파크 개인정보 유출 소극적 대응…누리꾼 ‘부글부글’

인터파크 전체 회원 40%의 정보 새어나가
누리꾼 “사과만 하면 되느냐” “개인정보가 공공재 됐다” 공분

인터파크가 25일 누리집에 별도의 창을 띄워 고객정보 유출에 대한 사과문을 게재했다. 인터파크 누리집 갈무리.

해킹을 당해 1000여만명의 고객정보가 유출된 인터넷 쇼핑몰 인터파크가 소극적인 사후 처리를 하면서 누리꾼들의 거센 비판을 받고 있다.

인터파크는 25일 밤 공식 누리집에 별도의 창을 마련하고 ‘개인정보 침해 사고 관련 공지 드립니다’라는 제목의 사과문을 게재했다. 인터파크는 이 사과문에서 “이번에 침해당한 회원 정보는 이름, 아이디, 이메일, 주소, 전화번호로 추정하고 있으며, 개인별로 유출 항목에 차이가 있다”고 알렸다.

25일 경찰과 인터파크가 밝힌 내용을 종합하면, 해커는 5월께 인터파크 직원에게 악성코드를 심은 메일을 보냈다. 회사 내부 전산망이 연결된 피시(PC)에 이 악성코드를 심고, 회원정보를 보관하는 디비(DB)에 접근해 정보를 빼낸 것으로 알려졌다. 인터파크가 이를 인지한 것은 해킹 시점으로부터 2달쯤 뒤인 지난 11일 해커가 30억원 상당의 비트코인(온라인 가상화폐)을 요구하는 메일을 보내면서다. 인터파크 관계자는 <한겨레>와의 통화에서 “트래픽이 비정상적으로 높아지는 등 징후가 있어 5월부터 내부적으로 분석에 나서긴 했으나 해킹 여부가 확인된 것은 해커로부터 이메일을 받았을 때”라고 했다. 경찰은 다음날 인터파크의 신고를 받고 수사에 나섰다.

하지만 인터파크는 해킹을 인지한 지 2주일이 지난 25일 <경향신문>이 이같은 사실을 보도한 뒤에야 보도자료를 내고 이 사실을 회원들에게 공지했다. 이번 해킹으로 개인정보가 유출된 이용자는 1030만명으로 알려졌다. 인터파크 전체 이용자(2300만명)의 40%에 달한다.

게다가 개인정보 유출 경위도 인터파크 누리집에 게재된 사과문만 봐선 제대로 파악하기 어렵다. 인터파크는 사과문에서 “7월11일 해커 조직에 의해 APT(지능형 지속가능 위협) 형태의 해킹에 고객 정보 일부가 침해당한 사실을 인지했으며, 익일 경찰청 사이버 안전국에 신고하여 공조를 시작하였다”고 알리고 있을 뿐이다. 자신의 개인정보가 유출된 이용자들은 경찰 발표와 언론 보도를 통해 자세한 경위를 파악해야 한다.

개인정보 유출 여부를 확인하는 과정에서도 허점을 노출됐다. 자신의 개인정보가 새나갔는지 확인하려면 사과문 창을 통해 로그인(▶바로 가기 : 인터파크 개인정보 유출 여부 확인 페이지)해야 한다. 개인정보가 유출됐지만 이를 모른 채 탈퇴한 이용자들은 유출 여부를 확인하기 어렵다. 이에 대해 인터파크 관계자는 “탈퇴 후 1년 넘게 지난 회원의 개인정보는 따로 분리해 금고에 보관한다. 해커가 탈퇴 회원 정보에 접근할 수는 없었을 것”이라고 해명했다.

금융정보가 유출되지 않았고, 비밀번호는 암호화돼 안전하다는 인터파크 측의 해명도 논란의 중심에 섰다. 인터파크는 사과문에서 “고객님들의 주민번호와 금융정보 등은 유출되지 않았으며, 비밀번호는 암호화되어 있어서 안전하다”고 밝혔다. 이에 누리꾼들은 “그냥 사과만 하면 되느냐”, “개인정보가 공공재가 됐다”며 공분을 쏟아내고 있다.

이 때문에 누리꾼들은 인터파크에 개인정보 유출에 대한 책임을 물어야 한다는 의견을 냈다. 인터파크 관계자는 “(유출된 개인정보가 타인에 의해 다른 용도로 쓰이는) 2차 피해 우려는 적다고 보지만, 가능성을 염두에 두고 외부업체와 협력하고 있다. 다만 유출 자체만으로 별도의 대책이나 피해 보상안을 구상하고 있진 않다”고 했다. 법무법인 이공의 양홍석 변호사는 이에 대해 “개인정보보호법상 정보 유출 자체만으로도 해당 기업에 민·형사상 책임을 물을 수 있다. 또 인터파크가 해킹을 방지하기 위해 충분한 보안 장치를 마련해두지 않았거나, 두달 가까이 유출사실을 전혀 인지하지 못하고 있었다면 이 역시 책임 사유에 포함될 수 있다”고 지적했다.

현소은 기자 soni@hani.co.kr