지난 25일 인터넷 쇼핑몰 인터파크는 고객 정보 1030만개가 외부 유출됐다고 밝혔다. 지난 11일 경찰청 사이버 안전국이 인터파크로부터 고소장을 접수받고 해외IP 추적에 나선 상태다. 그러나 해킹 시점과 공개 시점 간 간극이 커 인터파크의 대응이 안이했다는 비판이 나오고 있다.

◇ 고객 절반인 1030만명 정보 유출

이번 유출 사태는 약 2000만명에 달하는 인터파크 고객의 절반인 1030만명의 정보가 유출된 대규모 해킹이다. 인터파크에 따르면 유출된 고객 정보는 이름, 생년월일, 아이디, 비밀번호, 이메일, 주소, 휴대폰번호 등이다. 인터파크는 홈페이지 게시판을 통해 회원별로 개인정보 유출 여부를 확인할 수 있게 조치한 상태다.

해킹은 사내 컴퓨터에 악성코드가 포함된 메일을 보내는 ‘지능형 지속가능 위협(APT)’ 방식으로 이뤄졌다. 무심코 해당 메일을 열어본 직원의 컴퓨터에 악성코드가 잠복하고 있다가 내부 시스템에 침투하는 것이다. 사안의 심각성이 큰 만큼 미래부와 방통위도 민관합동조사단을 꾸려 원인규명 및 피해조사에 착수했다.

문제는 해킹이 지난 5월에 일어났다는 점이다. 인터파크는 고객 정보의 절반이 유출된 후 2개월이 지나도록 해킹 사실조차 파악하지 못하고 있었다. 인터파크 관계자는 “내부 보안에 신경을 쓰고 있긴 하지만 해킹 수법이 너무나 고도화됐다”며 “사전에 예방하기 어렵다”고 밝혔다.

인터파크는 두 달 전 개인정보를 빼간 해커가 지난 11일 메일을 보낸 뒤에야 해킹 사실을 인지했다. 인터파크에 따르면 해커는 개인정보 유출 사실을 언론에 공개하겠다고 협박하며 입막음 대가로 30억원을 요구한 것으로 확인됐다. 해커가 먼저 제보(?)하지 않았다면 1000만명이 넘는 고객 정보 유출 사실을 까맣게 몰랐을 터다.

인터파크는 해킹 사실을 인지하고도 고객들에게 바로 알리지 않았다. 지난 25일 한 언론 보도를 통해 해당 사태가 퍼지자 부랴부랴 사과문을 홈페이지에 공지하고 유출된 고객 정보를 확인할 수 있는 창구를 마련했다. 방송통신위원회 관계자는 “보통은 신고가 들어오면 조사에 착수하는데 이번 건은 언론보도를 통해 알고 조사단을 꾸렸다”며 “해커 검거를 위해 경찰에서 기업에 비공개를 요청하고 보도 시점을 늦추기도 한다”고 말했다.

◇ 2차 피해 우려 높아

지난 20일 인터파크는 서비스 이용약관 일부를 개정했다. 개정안에 따르면 회원이 자동로그인 등 ID를 부주의하게 관리하거나 타인에게 대여‧양도해 발생한 손해에 대해 회사는 어떠한 책임도 부담하지 않는다. 이에 따라 인터파크가 개인정보 유출이 알려질 때를 대비해 책임을 회피하기 위해 약관을 변경했다는 의혹이 일고 있다.

인터파크 관계자는 “해당 개정안을 만든 담당자는 개인정보 유출 사실을 몰랐다”고 주장했다.

인터파크의 초기 대응이 늦어지면서 파밍‧피싱 등 2차 피해 위험성이 커졌다. 방통위 관계자는 “이름, 주소, 아이디 등 개인정보가 방대하게 노출돼 다른 정보와 조합되면 2차 피해도 배제할 수 없다”고 밝혔다. 미래부 관계자도 “전화번호나 이메일 주소만 알아도 스팸메시지를 발송할 수 있다”며 2차 범죄 가능성을 우려했다.

사안이 이러한데 인터파크는 보상 규정도 마련하지 않은 상태다. 인터파크 측은 "아직 피해사례가 접수되지 않았다"며 "보상안을 논의 중"이라고 밝혔다. 향후 피해 사례가 접수되면 내부 협의를 거쳐 적절한 수준의 피해구제 및 보상이 따를 예정이란 설명이다.

대규모 정보 유출 소식이 퍼지면서 인터파크 주가는 하락세를 보였다. 26일 인터파크는 전날보다 848원 떨어진 1만4700원에 거래됐다. 인터파크의 지주회사인 인터파크홀딩스도 전날보다 약 50원 내려간 6000원에 거래를 마쳤다.