국내 인터넷쇼핑몰 인터파크에서 전체 회원의 절반에 해당하는 1030만명의 개인정보가 무더기로 유출된 가운데 이 회사의 무책임한 보안 관리체계가 도마 위에 올랐다.
전문가들은 직원 1인이 천만명 분의 정보를 취급할 수 있도록 한 인터파크의 보안 무개념을 지적하고 있다.
인터파크는 지난 5월 해킹 공격을 받아 2천400만명의 회원 중 1천30만여명의 개인정보가 해커에게 넘어갔다. 신원 미상의 해킹 조직은 인터파크 직원에게 악성코드를 심은 이메일을 발송한 뒤 데이터베이스(DB) 서버에 침투해 정보를 빼내 갔다.
유출된 개인정보는 고객 이름과 아이디, 비밀번호, 이메일 주소, 전화번호 등이다. 주민등록번호의 경우 지난 2012년 개정된 관련법에 따라 업체가 보관하고 있지 않아 유출 피해가 없었던 게 그나마 다행이다.
◆ 직원 1인이 전체 고객정보 열람?…고객 정보 취급에 부주의 드러내
인터파크는 이번 사용된 해킹수법인 '지능형 지속가능 위협(APT)'은 현재로선 막을 방법이 없다고 변명했다.
그러나 전문가들의 말은 다르다. 고객 정보를 열람할 수 있는 권한과 범위를 직원 1인 별로 한정시켰다면 미연에 방지할 수 있다고 입을 모은다.
27일 임종인 고려대 정보보호대학원 교수는 CBS 라디오와의 인터뷰를 통해 "한 명의 직원이 1000만명의 개인정보를 열람했었다"며 "이는 권한 관리라고 하는 보안의 기본이 적용되지 않은 경우이다"고 지적했다.
심지어 인터파크의 보안 수준이 굉장히 낮은 수준이라고 했다. 이는 본보가 취재과정서 만난 타 업체 보안팀과의 의견과도 일치한다.
한 쇼핑몰 보안 관계자는 "일반적으로 고객정보를 관리하는 직무의 경우, 접근할 수 있는 정보의 양에 한계를 두는 것이 기본"이라고 설명했다.
직원 한명이 취급하는 고객 정보의 양을 제한했다면 피해자를 줄일 수 있었다는 의미다.
인터파크 관계자는 직원 1인당 취급하는 고객의 개인정보수에 대해 "답하기 곤란하다"는 입장을 전했다.
◆ 돈아까웠나? 비밀번호 외 고객 정보도 암호화 했었야
특히, 임종인 교수는 예산을 이유로 비밀번호를 제외한 고객의 개인정보를 암호화 하지 않은 인터파크의 행태를 지적했다.
그는 2차 피해를 우려하며 "(인터파크가) 법적인 의무사항인 비밀번호는 암호화 했으면서 (휴대폰 번호 등) 등 나머지 정보는 돈이 많이 들고 관리하기 나쁘다는 이유로 암호화 하지 않았다"고 말했다.
인터파크 관계자도 비밀번호 외 다른 정보는 암호화 하지 않았다고 본보에 인정했다.
임 교수는 해커들은 전화번호 등을 갖고도 암호해독 프로그램을 이용해 다른 비밀번호까지 알아낼 수 있다고 지적했다.
관련업계에서도 회원 이름, 생년월일, 전화번호만 빠져 나가도 악용될 소지는 충분히 있다고 본다.
실제 2014년 4월, 시중은행에서 유출된 개인정보가 보이스피싱에 악용돼 수천 만원의 피해가 일어나는 사례가 확인됐다.
보이스 피싱 피해자 10명은 외국계 국내 은행에서 유출된 고객 대출정보 1천912건에 포함된 고객들이다.
◆ 2차 피해사례 실제 존재…보이스 피싱에 악용
해당 은행은 지난해 4월, 전산망에 저장됐던 2011년부터 2012년까지 대출 채무기록이 담긴 고객 1만6천여명의 정보가 대출 담당 직원에 의해 외부로 무단 유출됐다는 사실이 뒤늦게 알려지면서 파문을 일었었다.
당시 경찰도 유출된 개인정보가 범행에 이용됐다고 밝혔다.
현재 인터파크 개인정보 유출에 따른 정보유출 피해자들은 인터파크에 집단 소송 움직임을 보이고 있다.
피해자들은 포털 네이버에 '인터파크 개인정보유출 집단소송 공식카페'를 만들고 활동을 개시했다.
피해자들은 "소극적인 대응도 하지 않은 피해자들에게 보상을 해준 사례가 없다"며 "재발 방지를 위해서라도 적극적으로 피해배상을 요구할 것이다"고 말했다.
이동훈 기자 ldh@
< 저작권자 ⓒ 부산일보(www.busan.com) 무단 전재 및 재배포 금지 >