인터파크, 해킹 알고도 늑장 공지… 2차 피해 어쩌나

[사진=인터파크 CI]

아주경제 안선영 기자 = 인터넷 쇼핑몰 인터파크의 고객 데이터베이스(DB)가 해킹돼 1030만명의 회원 개인정보가 유출됐다. 하지만 인터파크는 고객피해 방지를 위해 이를 적극적으로 알리기는 커녕 공개시점을 미뤄 늑장대응한 것 아니냐는 비난의 목소리가 높아지고 있다.

25일 관련업계에 따르면 경찰청 사이버안전국은 지난 5월 초 인터파크 전산망에 침투해 회원의 이름과 생년월일 등 개인정보를 빼간 뒤 금전을 요구한 사건을 수사 중이다. 경찰 측은 해외 인터넷 프로토콜(IP)을 통해 접속한 해킹 세력의 소행으로 보고 있다.

이번 피해 회원수는 약 1030만명으로, 전체 회원수인 2400여만명의 40%에 달한다.

유출 정보는 회원별 인터파크 계정 아이디와 비밀번호, 이름, 생년월일, 이메일 주소, 전화번호 등이다. 다만 주민등록번호, 신용카드 번호, 계좌번호 등 금융정보는 유출되지 않았다. 2012년 8월 시행된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안'에 따라 온라인 회사는 회원의 주민번호 정보를 보관하지 못한다.

인터파크는 지난 11일 해커들의 협박 메일을 통해 해킹 사실을 인지하고, 13일 경찰에 고소장을 접수했다. 사건이 발생한 지 이미 두달여가 지난 시점이었다. 게다가 이 사실을 언론 보도와 홈페이지 공지 등을 통해 알린 것은 25일 오후가 되고 나서다.

이에 대해 인터파크 측은 "예상 피해 규모가 미미한 데다 경찰이 수사 협조를 요청해 공지하지 않았다"며 "악용 가능성이 높은 주민등록번호와 금융정보는 유출되지 않았다"고 설명했다.

하지만 인터파크의 늑장대응으로 2차 피해 발생 가능성이 제기되고 있다. 해커들이 탈취한 고객정보가 다른 용도로 이용되거나 판매될 가능성이 있기 때문이다. 

인터넷쇼핑몰의 허술한 개인 정보 관리도 도마에 올랐다. 이번에 인터파크를 공격한 해커는 APT(지능형 지속 공격·Advance Persistent Threat)로 알려진 해킹 수법을 썼다. 2008년 온라인쇼핑몰 옥션 해킹 공격 때도 활용돼 1000만여명의 개인정보가 유출된 방식이다. 2011년 현대캐피탈, SK커뮤니케이션즈, 농협 등도 같은 공격으로 큰 피해를 입었다.

인터파크 강동화 대표이사는 "고객 정보를 지키지 못한 것에 대해서는 변명의 여지가 없다"며 "범인 검거와 정보 유통 방지를 위해 사이버 안전국 등 관계기관 및 포털 사업자들과 긴밀히 공조하겠다"고 말했다.