인터넷 쇼핑몰 인터파크가 지능형 지속가능위협(APT: Advanced Persistent Threat) 형태의 해킹 공격으로 1,030만 명의 회원 개인정보가 유출되는 사건이 발생했다.
인터파크에 따르면 지난 11일 인터파크 고객 데이터베이스(DB) 서버를 해킹한 일당으로부터 30억원 상당의 비트코인을 요구하는 이메일을 받은 것으로 알려졌다. 비트코인을 이용한 가상계좌의 경우 신원이 노출되지 않는 점을 노린 것.
지난 25일 강동화 인터파크 대표이사는 공식 자료를 통해 "회원 정보 중 암호화된 파일로 따로 관리하는 주민번호와 계좌번호 등은 유출되지 않았음에도 범죄 용의자가 거액을 요구하고 있다"며 "범인 검거와 정보 유통 방지를 위해 사이버 안전국 등 관계기관, 포털 사업자들과 긴밀히 공조하겠다"고 말했다.
하지만 인터파크는 해커들의 협박 메일을 통해 해킹 사실을 인지한 뒤 이틀이 지난 13일에야 경찰에 신고했다. 이는 사건이 발생한 5월초로부터 두 달이 지난 시점이다.
더욱이 협박 메일을 받고도 2주 넘게 고객들에게 해킹사실을 알리지 않다가 신고 후 열흘이 지난 25일에야 홈페이지에 공지해 늑장대응이라는 비판을 면치 못하고 있다. 해커들이 유출된 고객정보를 불법적인 용도로 이용하거나 판매할 수 있는 시간적 여지를 제공, 2차 피해 발생 가능성을 높였다는 지적이다.
이에 대해 인터파크는 2주 동안 범인과 수차례 협상을 진행하면서 이메일 IP를 추적하는 등 경찰에 단서를 제공했을 뿐 해킹 사실을 끝까지 감추려고 했던 것은 아니라고 해명했다.
인터파크가 고객 정보 유출 이후 회원가입 약관 일부를 변경한 것 역시 ‘오얏나무 아래서 갓 끈 고쳐 맨’ 격의 오해를 불러일으키고 있다.
지난 20일 인터파크는 해킹 관련 입장을 표명하기에 앞서 이용약관 변경을 홈페이지에 공지하며 ‘회원은 선량한 관리자의 주의의무로 자신의 ID와 비밀번호를 관리하여야 하며 회원이 자동로그인, SNS연동로그인 등 ID를 부주의하게 관리하거나 타인에게 양도, 대여함으로써 발생한 손해에 대하여 회사는 어떠한 책임도 부담하지 않는다‘는 조항을 추가했다.
이에 대해 일부 회원들은 해킹사태에 대한 책임 회피용 조항이라는 의혹의 시선을 보내고 있다. 이후 인터파크 관계자는 “개정 공지되었던 해당 약관은 ‘SNS를 통한 간편 로그인 서비스’를 위해 사전에 기획된 것으로 이번 사태와 무관하지만 불필요한 오해를 방지하고자 해당 조항은 삭제하고 도입시점은 유보하기로 했다”는 입장을 밝힌 바 있다.
이번 사태로 인한 피해자 수가 전체 회원 수의 약 40%인 2,400만명에 달하다 보니 피해자들은 집단소송을 준비하는 등 후폭풍도 커지고 있다.
정보 유출 피해자들은 포털 사이트에 해킹 피해자 공식카페를 개설, 집단소송 서명운동 및 피해 현황을 공유하고 있다. 네이버에 개설된 '인터파크 개인정보 유출 집단소송 공식카페'의 회원 수는 27일 기준으로 6,211명에 달하고 있다.
경찰이 이번 사태를 해외 인터넷 프로토콜을 통해 전산망에 침입한 해커집단 소행으로 파악하고 있는 가운데 일각에서는 북한을 배후로 지목하고 있다.
인터파크 해킹에 쓰인 악성코드가 2013년 6월 청와대와 언론사, 2014년 11월 미국 소니픽쳐스 해킹 때와 동일하며 인터파크 공격에 쓰인 악성파일 명령&제어 서버 일부 역시 북한이 주로 쓰는 것과 동일하다는 것을 근거로 들고 있다.
한편 인터파크는 원칙적으로 2차 피해 가능성이 없다고 주장하면서도 만일을 대비해 내부적으로 관련법 검토에 들어간 상태다. 앞서 제기된 수차례의 정보유출 관련 집단소송에서 판례는 기업이 현격히 주의의무를 다하지 않았거나 실제 피해를 입증할 근거가 있는 경우에만 기업의 배상 의무를 명시하는 입장을 취해 왔다.
