[뉴스토마토 이성수기자] 해킹으로 인해 회원 1030만명의 고객정보가 유출된 인터파크(108790)가 늑장대응과 책임회피성 약관 변경으로 논란이 일고 있다. 해킹 사실을 인지한지 무려 2주동안 이를 공개하지 않은데다 그 사이 자동로그인, SNS연동로그인 등 부정로그인에 대한 책임회피성 내용을 담은 이용약관 개정을 단행해 고객의 신뢰가 추락하고 있다.

 

또 인터파크를 통해 예매한 고가의 공연 티켓이나 스포츠경기 관람권은 고객 이름과 휴대폰번호 등 이미 유출된 기본적인 정보만으로도 수령이 가능해 여러 경로의 다양한 2차, 3차 피해가 우려되는 상황이다.

 

26일 관련업계에 따르면 인터파크는 지능형 지속가능 위협(APT·Advanced Persistent Threat) 형태의 해킹에 의해 회원 1030만명의 정보가 유출됐다. APT 해킹은 메일이나 웹문서를 통해 악성코드를 설치하고 오랜 기간 잠복하는 방식으로, 이번에 유출된 회원정보에는 이름, ID, 이메일주소, 주소, 전화번호 등이 포함됐다.

 

강동화 인터파크 대표이사는 지난 25일 공식입장자료를 통해 "주민번호와 금융정보가 빠진 정보임에도 범죄 용의자가 거액을 요구하고 있다"며 "범인 검거와 정보 유통 방지를 위해 사이버 안전국 등 관계기관, 포털 사업자들과 긴밀히 공조하겠다"고 말했다.

 

경찰청 사이버안전국과 관련업계에 따르면 해킹 일당은 인터파크 측에 지난 11일 이메일을 보내 30억원의 금품을 요구한 것으로 알려졌다.

 

소비자들은 인터파크 측이 금품을 요구한 협박 메일을 받은지 2주가 지나도록 고객들에게 해킹 사실을 알리지 않았다는 점을 들어 인터파크의 늑장대응을 비판하고 있다.

 

또 유출된 개인정보가 인터넷 암시장에서 거래될 경우 추가적인 범죄에 악용될 수 있다는 점 또한 우려된다.

 

이미 수년전 발생한 KB국민·NH농협·롯데카드의 고객 개인정보 유출사고와 KT 홈페이지 해킹사건 등으로 인한 2차 피해가 지금도 간헐적으로 발생하고 있다는 전례가 있기 때문이다.

 

아울러 인터파크에서 판매 중인 각종 공연이나 스포츠경기의 관람티켓을 현장수령할 경우 매표소에서 이름과 아이디, 휴대폰번호만 있으면 수령이 가능하기 때문에 여러 경로의 다양한 피해가 예상된다.

 

이에 대해 인터파크 측은 지난해 개인정보관리체계(PIMS) 인증을 획득한 바 있고, 이에 앞서 2012년 8월 인터넷 사업자의 개인정보보호 조치 의무를 강화한 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안이 시행된 직후부터 회원의 주민번호를 보관하지 않아 이번 공격에 주민번호는 노출되지 않았다는 주장이다. 또 회원 정보 중 암호화된 파일로 따로 관리하는 비밀번호, 계좌번호 등은 유출되지 않았기 때문에 2차 피해는 발생할 가능성이 적다는 입장이다.

 

한편 인터파크 측은 고객 정보가 유출됐다는 점을 인지한 후인 지난 20일 홈페이지 등을 통해 이용약관을 변경해 빈축을 사고 있다.

 

이날 개정을 통해 '회원은 선량한 관리자의 주의의무로 자신의 ID와 비밀번호를 관리해야 하며, 회원이 자동로그인, SNS연동로그인 등 ID를 부주의하게 관리하거나 타인에게 양도, 대여함으로써 발생한 손해에 대하여 회사는 어떠한 책임도 부담하지 않습니다'라는 내용의 약관이 추가됐기 때문이다.

 

만약 고객 정보 유출로 인한 부정로그인을 통해 고객이 피해가 발생하더라도 인터파크 측이 개정된 이 약관을 방패막으로 활용할 수도 있다는 게 소비자들의 우려다.

 

이에 대해 인터파크 측은 이번 이용약관 변경은 다음달 도입할 간편로그인 시스템과 관련된 사항으로 최근 발생한 고객 정보유출과는 무관하다고 해명했다.

 

인터파크는 이 같은 논란이 일자 홈페이지에 게시된 이용약관 변경 공지에 "현재 SNS간편로그인 서비스 도입 시점은 잠정적으로 연기됐으며, 해당 약관의 시행일자와 SNS서비스 도입 시점등은 내부적으로 재검토 후 안내할 예정"이라는 문구를 추가한 상태다.

 

 

이성수 기자 ohmytrue@etomato.com