인터파크 개인정보 유출, 사용자는 어떻게 대응해야 하나
[IT동아 강일용 기자] 약 2,000만 명의 회원을 보유한 대형 인터넷 쇼핑몰 인터파크가 해킹을 당해 가입자들의 개인 정보가 유출되는 최악의 보안 사태가 일어났다. 경찰청 사이버 안전국과 인터파크에 따르면 지난 5월 인터파크는 해커 조직에 의해 APT(지능형 지속가능 위협) 공격을 당해 가입자 1,030만 명의 개인 정보가 유출됐다. 대한민국 국민의 1/5의 개인 정보가 고스란히 해커 조직의 손에 넘어간 것이다. 유출된 개인 정보는 이름, 아이디, 비밀번호, 이메일, 주소, 전화번호 등으로 구성되어 있다. 인터파크에 따르면 주민번호와 금융정보는 유출되지 않은 상태다.
인터파크는 가입자의 비밀번호가 암호화되어 있어 안전하다고 밝힌 상태다. 그러나 추가 피해 우려가 있기 때문에 인터파크 가입자는 반드시 이용 중인 비밀번호를 변경해야 한다. 특히 인터파크와 동일한 아이디, 비밀번호로 이용 중인 다른 인터넷 서비스가 있다면 모두 변경해주어야 한다. 가입자의 개인 정보 유출 여부는 인터파크 개인정보 유출 확인 페이지(https://incorp.interpark.com/member/memberjoin.do?_method=getMemberInfo)에서 확인할 수 있다.
APT 공격이란 먼저 해커조직이 특정 대상을 정한 후 해당 타겟의 보안 취약점을 찾아서 침투해 정보를 빼돌리거나 전산망을 마비시키는 사이버 공격을 뜻한다. 인터파크의 경우 해커조직이 직원의 이메일을 통해 내부 전산망에 침투해 개인 정보를 빼돌렸다. 해커조직이 30억 원 어치의 비트코인을 요구하기 전까지 인터파크 측은 해킹이 있었다는 사실조차 파악하지 못한 것으로 알려진 상태다.
넥슨, 네이트에 이어 인터파크까지 고객의 개인정보가 유출됨에 따라 국내 IT 기업의 허술한 보안 관리가 다시 도마에 오를 전망이다. 고객들에겐 보안을 강조하며 불편한 보안 프로그램을 PC와 스마트폰에 설치하라고 강요하면서, 정작 자신들의 보안은 제대로 챙기지 못하는 것이 우리나라 IT 기업의 보안 현실이다.
인터파크는 "2015년 개인정보관리체계(PIMS) 인증을 획득한 바 있고, 개인 정보보호 및 보안에 많은 노력을 기울여 왔음에도 해커 조직의 범죄에서 고객 정보를 지키지 못한 점에 대해 사과 드립니다. 이번 일을 계기로 개인정보 보호에 더욱 만전을 기할 것을 약속 드립니다. 더불어 범죄 조직 검거 및 2차 피해방지를 위해 관계기관과의 긴밀한 협조 유지에 최선을 다하겠습니다"고 밝혔으나, 고객의 개인 정보 유출에 대한 책임을 어떻게 질 것인지에 대해서는 함구했다.
글 / IT동아 강일용(zero@itdonga.com)