인터넷 쇼핑몰 인터파크에서 해킹으로 고객정보가 대량 유출된 사실이 확인돼 경찰이 수사에 나섰다. 경찰과 인터파크에 따르면 올 5월 인터파크 서버가 해킹당해 고객 1030만여명의 이름, 아이디, 주소, 전화번호 등 정보가 유출됐다. 해킹은 인터파크 직원에게 악성코드를 심은 이메일을 보내 해당 PC를 장악한 뒤 오랜 기간 잠복했다가 데이터베이스(DB) 서버에 침투한 것으로 추정된다.
주민등록번호는 정보통신망 이용촉진 및 정보보호에 관한 법률상 업체에서 보관하지 않아 이번 공격으로 유출되지 않은 것으로 파악됐다. 해커는 정보유출에 성공하자 인터파크 측에 이메일을 보내 "개인정보 유출 사실을 공개하겠다"며 거액의 금품을 요구한 것으로 전해졌다. 경찰청 사이버안전국은 이달 중순께 인터파크 측으로부터 금품과 관련한 협박을 받는다는 신고를 받고 수사에 착수했다. 경찰은 해커들이 여러 국가를 경유해 인터파크 전산망에 침투한 것으로 보고 해킹이 시작된 인터넷 프로토콜(IP) 추적에 주력하고 있다.
인터파크 측 설명에 따르면 이번 해킹은 지능형 지속가능 위협(APT) 공격인 것으로 추정된다. APT 공격은 특정 목표를 정해놓고 장시간에 걸쳐 다양한 방법을 총동원하는 형태를 말한다고 한다. 인터파크의 경우는 해커가 인터파크 직원에게 악성 코드를 심은 이메일을 보내 해당 PC를 장악한 뒤 오랜 시간 잠복 상태로 있다가 데이터베이스(DB)에 침투한 것으로 추정된다. 해커들은 추적을 피하려고 여러 나라를 거쳐 인터파크 전산망에 침투한 것으로 알려졌다. 해커는 정보를 빼낸 뒤 이메일을 보내 "개인 정보 유출 사실을 공개하겠다"고 협박하면서 거액의 금품을 요구했다.
인터파크는 두 달이 지난 시점에 해커의 협박을 받고서야 상황을 파악한 것으로 드러났다. 인터파크 측은 경찰에 해킹 사실을 신고했고 2차 해킹 등 추가 공격을 막기 위한 비상 보안시스템을 가동했다고 밝히고 있다. 강동화 인터파크 대표이사는 25일 입장자료를 통해 공식 사과했으며 홈페이지 팝업창을 통해 개인정보 유출 사실과 유출 항목을 공개했다. 이번 해킹사고에서 정보보호에 관한 법률에 따라 업체에 보관되지 않는 주민등록 번호와 암호화된 개인 비밀번호는 유출되지 않았다고 한다. 그나마 법률로 개인정보 수집을 제한했기 망정이지 더 큰 혼란이 빚어질 뻔했다.
해킹 사실조차 파악하지 못한 것은 이해하기 어렵고, 개인 피해자들을 위해 합당한 조치를 제때 취했다고 보기도 어렵다. 뒤늦게 해킹 피해를 인지하고 경찰에 신고하기는 했지만 이후 열흘 이상 가입자들에게는 어떤 통보도 없었다. 수사를 돕기 위한 조치였다고 해도 납득하기 어렵다. 개인 정보가 빠져나간 지 두 달이나 지난 시점이어서 이미 2차 피해가 일어나지 않았다고 장담할 수 없게 된 점을 고려하면 더욱 그렇다.
