서영준 산업2부 기자
[뉴스토마토 서영준기자] "고객의 소중한 개인정보를 지키는 것은 어떻게 보면 당연한 일입니다. 하지만 하루에도 수백번의 해킹 시도가 있고, 이를 모두 방어하기란 어려운 것이 사실입니다. 그래도 단 한번의 방어에 실패해 개인정보가 유출되면 기업의 정보보안 담당자들은 온갖 비난을 감수해야 합니다."
2013년 방송사와 금융기관에 대한 사이버 테러 배후가 북한으로 밝혀진 자리에서 만난 민관군 합동대응팀 관계자가 했던 설명이다. 정보보호 산업에 몸담고 있는 종사자의 고충이 그대로 묻어나는 말로 몇년이 지난 지금까지도 머릿속에 선명하게 남아있다.
개인정보를 빼내려는 해커와 이를 방어해야 하는 기업의 정보보안 담당자의 소리 없는 전쟁은 매일 반복되고 있다. 대부분 정보보안 담당자의 승리로 끝나기 때문에 우리의 개인정보는 소중하게 지켜지고 있다. 그러나 정보보안 담당자가 항상 이기라는 법은 없다. 따라서 기업이 해킹을 당하면 이러한 사실을 즉각 고객들에게 알리고, 후속 피해가 발생하지 않도록 시기 적절한 조치를 취해야 한다.
지난 25일 미래창조과학부와 방송통신위원회는 민관합동조사단을 꾸려 인터파크의 개인정보 유출사건 원인 조사를 실시한다고 밝혔다. 민관합동조사단에 따르면 인터파크는 지난 5월 지능형 지속가능 위협(APT) 공격으로 고객 1030만명의 개인정보가 유출됐다. 주민등록번호를 제외한 이름과 주소, 전화번호 등이 대상이다.
APT 공격은 목적 달성을 위해 대상을 특정한 뒤 오랜기간에 걸쳐 은밀하게 사이버공격을 감행한다. 때문에 피해를 입은 특정인이 공격 사실을 감지하지 못하면 피해 여부조차 파악이 힘든 것으로 알려져 있다. 이번 인터파크 사고도 이메일에 악성코드를 심은 첨부파일을 통해 직원 PC를 우선 감염시키고, 2차적으로 회사 데이터베이스(DB)로 침투해 개인정보를 빼간 것으로 파악되고 있다.
인터파크는 개인정보 유출 사실을 지난 11일 인지했다. 개인정보를 빼간 일당이 30억원의 금품을 요구한 협박 메일을 보내와서다. 그러나 인터파크는 고객들에게 이같은 사실을 열흘 넘게 알리지 않았다. 결국 지난 25일 오후가 돼서야 공지하면서 개인정보 유출 사실을 알렸다.
앞서 정보보안 담당자의 말을 곱씹어 보면 개인정보 유출은 해커의 1승이 만들어낸 결과다. 물론 해커가 단 1승도 거두지 않아야 한다는 것은 누구나 알고 있다. 그래도 한번의 패배가 만들어낼 후폭풍을 인터파크가 충분히 알고 있었다면, 이같은 사실을 열흘 동안 쉬쉬하지는 않았을 것이다. 대부분의 개인정보 유출 피해자들도 해커의 1승에 분노하기보다 인터파크의 늦장 대응에 비난을 쏟아내고 있음을 알아야 한다.
서영준 기자 wind0901@etomato.com