[데일리비즈온 정재훈 기자] 인터파크는 고객정보가 대량 유출된 사고가 불가항력적이라고 하더라도 허술한 보안관리에서 이번 사건이 발생했다는 점에서 개인정보유출에 대한 피해책임에서 자유로울 수 없다는 지적이 나오고 있다.
최근 약 1030만 건의 인터파크 고객정보가 유출된 사고에 대해 경찰은 잠정적으로 북한의 소행이라고 결론을 내렸다고 해서 인터파크의 고객정보유출에 면죄부가 주어질 수 없다는 것이 지배적인 의견인 가운데 피해자들은 집단소송을 제기할 움직임을 보이고 있다.
2일 관련업계에 따르면 최근 경찰은 인터파크 고객정보유출사고를 조사한 결과, 과거 북한이 사용한 악성코드와 유사하다는 점에서 이번 사고는 단순히 블랙 해커의 해킹이 아닌 북한 사이버테러의 소행이라는 잠정 결론을 내렸다.
그러면 이 사고는 북한의 해킹에 의한 불가항력적인 측면이 있다고 해서 인터파크가 고객정보유출에 대한 책임의 면할 수 있게 되는 의견도 없지 않다. 그러나 인터파크가 철저한 보안관리를 해오지 않은데서 이번 사고가 발생한 것으로 알려져 고객정보유출 책임에서 자유로울 수 없다는 지적이다.
인터파크는 망 보안을 소홀히 해온 것으로 드러났다. 인터파크는 고객정보가 대량 유출된 사실을 전혀 몰랐다가 2개 월 정도 지난 7월 11일 해커로부터 30억 원을 요구하는 협박을 받고서야 고객정보가 유출된 사실을 알았다.
인터파크 직원이 지난 5월 사내 PC로 동생을 가장한 공격자로부터 이메일을 받았고, 악성코드를 숨기고 있던 ‘화면 보호기 파일’을 다운로드 받으면서 감염된 것으로 알려졌다.
보안업계는 이런 경로를 통한 고객정보 유출은 인터파크의 허술한 보안관리체계 운영에서 비롯된 것으로 보인다고 지적했다. 이들은 ‘완벽한 망 분리가 이뤄지지 않은 것이 아니냐’, ‘DB접근제어 등 DB보안은 제대로 됐나’ 등의 의문을 제기하고 있다.
인터파크 책임론이 강하게 제기되고 있는 가운데 인터파크 개인정보 유출 사고와 관련, 인터파크 개인정보유출 커뮤니티 회원들은 인터파크를 상대로 집단소송을 준비하고 있다. ‘인터파크 집단소송 단체 대응카페’와 ‘인터파크 개인정보 유출 단체소송 공식카페(이하 인개소)’는 4천명~8천명의 회원을 두고 있는데 개인정보유출 재발방지를 위해 집단소송 등을 동원할 방침이다.
이들은 인터파크의 무성의한 대응태도 때문에도 집단소송이 불가피하다는 입장이다. “대기업에서 1030만 명의 회원 개인정보가 유출되었는데도 아무런 반응이 없다가 해커가 돈을 요구하자 그제서야 부랴부랴 경찰에 수사 의뢰했다. 뒤늦게 공지문을 올렸으나 너무 무성의하다. 팝업창 하나로 때운다는 것인지 발상이 치졸하다”며 적당히 넘어갈 수 없는 문제라는 반응이다. ‘인개소’는 집단소송으로 회원 1인당 100만 원 이상 청구할 예정이다.
집단소송이 열리면 가장 큰 쟁점은 ‘사측의 과실 여부’가 될 전망이다. 현재 인터파크는 회원들의 개인 정보가 유출된 점을 인정·사과하면서도 고의나 실수가 아니라는 점을 강조하고 있다. 인터파크는 APT방식이라는 고도의 해킹 방식을 통해 사내 이메일에 장시간 악성코드가 잠복해 있다가 활동해 발견이 늦어졌다고 설명하고 있다.
하지만 보안 전문가들은 인터파크 측의 해명은 설득력이 떨어진다고 지적했다. 이들은 최초의 해킹 공격이 업무와 무관한 이메일을 통해 이뤄졌다는 점을 감안하면 이를 사측의 과실로 인정할 수 있다고 보고 있다.
사측의 과실이 인정될 경우에는 2차 피해가 발생하지 않더라도 손해배상을 해줘야 한다는 게 전문가들의 공통된 의견이다. 하지만 인터파크는 정보 유출 피해자들에 대한 배상과 관련해 현재로써는 2차 피해들이 발생하지 않고 있다는 점을 들어 경찰 수사를 지켜본 후 결정하겠다는 입장이다.
