인터넷 쇼핑몰 ‘인터파크’는 25일 개인정보 침해사고 관련 공지를 올렸다. ‘인터파크는 7월 11일 악성 해커 조직에 의해 APT(지능형 지속가능 위협) 형태의 해킹에 고객정보 일부가 침해당한 사실을 인지하고 12일 경찰청 사이버안전국에 신고해 공조를 시작했다고 밝혔다.

 
◇어떤 정보가 얼마나 유출됐나
이번에 유출된 개인정보는 회원 이름과 아이디, 주소, 전화번호, 이메일, 생년월일 등이다. 인터파크 측은 회원 2000여 만명의 절반에 해당하는 1030만명의 개인정보가 유출됐다고 밝히고 다만 주민등록번호와 금융정보는 유출되지 않았으며 비밀번호는 암호화돼 있어서 안전하다고 밝혔다. 하지만 안전을 위해 인터파크 측은 비밀번호 변경을 권고하고 있다. 유출 여부 확인은 인터파크 공지사항을 참조하면 된다. 주소, 전화번호, 이메일 등은 법적인 암호화 대상이 아니다. 그리고 이들 정보를 암호화할 경우 서비스 부하가 심하기 때문에 기업들은 개인정보 전체 암호화를 못하고 있는 실정이다.
 
◇언제 어떻게 해킹을 당했나(추정)
경찰청 사이버안전국은 인터파크 직원 PC가 악성코드에 감염돼 고객 DB서버가 유출된 것으로 추정. 악의적 해커가 인터파크 직원에게 악성코드를 심어 놓은 이메일을 보냈고 해당 직원이 이메일 내용을 클릭하면서 PC를 장악당했고 이후 APT 공격을 통해 DB서버에 접근한 것으로 추정하고 있다. 경찰 측은 지난 5월경에 해커가 인터파크 내부 공격을 진행한 것으로 보고 있다. 2개월 이상 잠복하면서 DB서버 관리자 계정을 탈취 후 고객DB를 빼내 간 것으로 추정된다.
 
경찰 측은 해커가 추적을 피하기 위해 미주, 유럽, 아시아 등 여러 국가의 서버를 경유했다고 밝히고 해당 국가 경찰과 국제 공조수사를 요청한 상태다.

 
◇범죄자가 요구한 것은
인터파크를 해킹한 사이버범죄 집단은 11일 인터파크 강동화 대표에게 협박 메일을 보내 30억 비트코인(온라인 가상화폐)을 요구했다. 요구에 응하지 않으면 인터파크 전산망 해킹사실을 공개하겠다는 내용이었다.
 
◇논란이 되고 있는 ‘늑장 공지’
인터파크는 지난 11일 범죄자로부터 협박 메일을 받고 해킹 사실을 인지하고도 이틀 뒤인 12일 경찰에 신고했다. 홈페이지에 해킹 사실을 공지한 것도 25일에 이루어졌다. 개인정보 유출 사실을 인지하고 즉시 관계 당국에 신고와 고객에게 공지해야 하는 관련 법을 어긴 점이다. 인터파크 측은 예상 피해 규모가 미미하고 경찰이 수사 협조를 요청해 공지가 늦어졌다고 해명하고 있다. 하지만 열흘이 지난 상태에서 인터파크 측의 해명과 사과공지는 분명 문제로 지적 받고 있다.
 
하지만 업계 관계자들은 경찰 수사가 시작되면 공지를 할 수 없다. 범인 검거가 우선이기 때문이다. 공지를 해 버리면 범인은 침투 흔적들을 지우고 숨어버리기 때문이다. 범인검거를 위해 공지가 늦어질 수도 있다고 전했다.

 
◇집단소송과 탈퇴 움직임
인터파크 해킹 사실이 알려진 후 인터넷 상에서는 집단소송 카페가 생겨나고 있다. 현재 개설된 카페는 ‘인터파크 개인정보 유출 집단소송 공식카페’와 ‘인터파크 피해자공식카페’ 등이다. 현재 2천여 명 이상이 회원가입을 한 상태다. 또한 각종 카페와 블로그, SNS 등에는 이번 인터파크 개인정보 유출 사태를 성토하며 탈퇴를 해야겠다는 글이 계속 올라오고 있는 상황이다.
 
◇동종업계 보안담당자 반응
동종 업계 모 보안담당자는 “아무리 좋은 APT 장비나 이메일 보안, 악성코드 탐지 솔루션을 도입해 사용하더라도 공격자는 이를 우회할 수 있다. 또 유입된 악성코드를 탐지했다 하더라도 너무 많은 경고들 속에서 진짜 공격을 찾아 내기란 너무 힘든 점이 있다. 이번 인터파크 사고는 동종업계 어디든 당할 수 있는 사고다”라고 어려움을 토로했다. 또 부족한 보안전담인력과 투자에 비해 사고 발생시 보안담당자가 감당해야 할 부분은 너무 크다고 전했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com