인터파크 개인정보 유출에 보안전문가 “2차피해 일어날 수 있다”

인터파크, 해킹으로 1030만여명 고객정보 유출 국내 대표 인터넷 쇼핑몰 인터파크가 해킹으로 약 1030만명의 고객정보가 대량 유출돼 경찰이 수사에 나섰다. 인터파크는 고객정보 유출 사태와 관련해 사과문을 홈페이지 팝업창으로 띄웠다. 인터파크 홈페이지 캡처화면

보안 전문가가 이번 인터파크 개인정보 유출 건에 관련해 “2차피해가 나지 않는다는 것은 거짓말”이라고 밝혔다.

임종인 고려대 정보보호대학원 교수가 27일 오전 CBS 라디오 프로그램 ‘김현정의 뉴스쇼’에 출연해 인터파크 개인정보 유출 사태에 대해 이야기를 나눴다. 임 교수는 “인터파크가 2차피해는 크게 염려하지 말라는데, 괜찮냐”는 진행자의 질문에 “(유출된 정보로)2차피해가 다양하게 날 수 있다”고 대답했다.

진행자는 인터파크 측에서 ‘주민등록번호는 노출되지 않았고 이름과 전화번호, 이메일 정도 노출됐으니 크게 염려하지 마라’고 주장한 데 대한 의견을 물었다. 이에 임 교수는 “현행법에 의해 주민번호와 비밀번호는 암호화하게 되어 있다”며 “하지만 나머지 정보는 돈이 많이 드니 암호화를 안 했다”고 말했다. 임 교수는 이메일 주소와 주소, 전화번호 등을 스팸과 보이스피싱에 이용할 수 있고, 정보를 조합해 비밀번호도 추측할 수 있다고 지적했다. 또 “사람들이 보통 ID와 패스워드를 (타 사이트에서)유사한 걸 많이 쓴다”며 “2차 피해가 다양하게 날 수 있다”고 말했다.


임 교수는 앞서 “능력이 없는 사람에게 너무 많은 권한을 줬다”고 비판했다. 인터파크는 정보를 제대로 관리할 능력이 없는데 국민들이 너무 많은 정보를 줬고, 정부가 수집 권한을 허용했다는 것이다. 또 해킹 방식이 ‘지능형 지속가능 위협(APT)’인 것을 들어 “민방위 훈련 하듯 가짜 악성코드를 심은 메일을 보내고, 직원이 부주의하게 열어보면 경고함으로써 훈련이 가능했다”고 설명했다. 무엇보다도 악성코드에 감염된 직원에게 1000만명의 개인정보를 열람할 수 있도록 권한을 준 문제를 지적했다.

계속해서 이같은 개인정보 유출 문제가 일어나는 이유에 대해 임 교수는 기업의 안일한 인식과 정부의 미흡한 정책을 꼽았다. 임 교수는 “미국 등에서는 징벌적 배상제나 집단소송을 통해 기업이 실제로 아픔을 느끼게 한다”며 “금융기관 못지 않게 중요한 정보를 가지고 있는 기업들이 별로 인식을 안 하는 것 같다”고 꼬집었다. 또 정부에 대해서는 “정부도 정보보호를 위해서 투자를 하는 모범기업을 발굴해 성과를 인정받도록 해야한다”며 “많이 얘기해왔는데 왜 안 되는지 모르겠다”고 아쉬움을 드러냈다.

온라인뉴스부 iseoul@seoul.co.kr