인터파크에서 2666만 건 개인정보가 유출되는 사건이 터졌다. 옥션 정보 유출, 현대캐피탈 정보 유출, 카드사 1억 건 정보 유출 등 사건이 발생할 때마다 정부와 기업들은 재발방지를 약속했다. 하지만 개인정보 유출은 계속되고 있다. 전면적인 패러다임의 전환 없이는 ‘대책을 위한 대책’과 함께 개인정보 유출이 일상화될 수 있다는 우려가 나오는 이유다.





지능형 공격에 뚫린 인터파크

인터파크는 7월 25일 홈페이지 사과문을 통해 7월 11일 해커 조직에 의해 지능형 지속가능 위협(APT) 형태의 해킹으로 고객정보 일부가 침해당해 경찰청 사이버안전국에 신고했다고 밝혔다. 당시 알려진 피해자는 1030만 명으로 대한민국 전 국민의 20%에 해당하는 수치였다.

그런데 미래창조과학부와 방송통신위원회가 8월 31일 발표한 조사 결과 피해자가 훨씬 많은 것으로 드러났다. 이번 사고로 유출된 회원정보 건수는 총 2665만8753건으로 집계됐다. 지금까지 알려진 일반회원 정보 1030만 건 외에 휴면회원 1152만2045건, 탈퇴회원 173만4816건이 유출된 것이다.

발표에 따르면 인터파크 일반회원의 경우 아이디, 암호화 된 비밀번호, 이름, 전화번호, 이메일 등 정보가 유출됐다. 휴면회원은 아이디와 암호화 된 비밀번호, 탈퇴회원과 제휴사 일반회원은 아이디가 해커의 손에 넘어갔다.

경찰과 보안전문가들에 따르면, 해커는 인터파크에 새로운 기법을 사용한 것이 아닌 것으로 드러났다. 해커는 우선 인터파크 관계자 관련 정보와 이메일 정보 등을 수집했다. 인터파크 관계자와 평소 이메일을 주고받던 사람들 중 실제 동생을 찾아낸 후 그를 사칭하는 포털사이트 메일을 보낸 것이다. 해커는 인터파크 회사 메일로 보낼 경우 보안 시스템에 적발될 수 있다고 판단한 것으로 보인다.

해커는 사칭 이메일을 통해 인터파크 직원 PC에 악성코드를 심은 후 본격적인 활동에 나섰다. 해커 직원 PC를 통해 내부 개인정보취급자 PC와 데이터베이스(DB) 서버 등에 접근한 것으로 조사됐다. 그리고 여러 차례 접속 끝에 DB서버의 회원 개인정보를 밖으로 빼돌렸다. 이후 해커는 인터파크에 연락해 30억 원 상당의 비트코인을 보내지 않으면 정보유출 사실을 알리겠다고 협박했다.

대규모 개인정보가 유출된 것이 처음은 아니다. 2008년 옥션이 해킹당해 약 1000만 명의 개인정보가 유출됐다. 2011년 4월에는 현대캐피탈이 해킹을 당해 175만 명의 고객정보가 유출됐는데, 당시 현대캐피탈 역시 해커들에게 협박을 당했다. 2014년에는 KB국민카드, NH농협카드, 롯데카드가 해킹을 당해 1억 건의 개인정보가 유출되는 사고가 발생했다.

사건이 발생할 때마다 정부는 대책을 내놨다. 개인정보를 암호화하고 최고보안책임자(CISO)를 선임하고 보안인증을 받고 보안투자를 늘리라는 것이었다. 또 개인정보 유출이 발생하면 강력하게 처벌하겠다는 것도 대책에 포함시켰다. 인터파크 사건 역시 정부 당국의 징계가 예상된다.

그럼에도 또 다시 개인정보 유출사건이 발생하면서 국민들은 망연자실하고 있다. 정부와 보안전문가들 역시 이번 사건에 당혹스러워하고 있다. 인터파크는 2015년 개인정보관리체계(PIMS) 인증을 획득했고, 해킹을 막기 위해 각종 보안 장비와 솔루션도 도입했다. 그럼에도 이메일 한 통에 보안체계가 무너진 것이다.


총체적 실패…패러다임 전환 불가피

대형 보안사고가 또 다시 발생한 것은 기존 보안 대응의 실패라는 지적이 나오고 있다.
한 보안전문가는 “정부와 기업들이 비싼 보안 솔루션을 도입하고 인증을 받는 것을 보안대책이라고 하지만, 비싼 솔루션도 사람의 실수 앞에서는 무용지물이고, 인증도 받을 때만 보안에 충실할 뿐이었기 때문에 문제가 터진 것”이라고 말했다.

보안전문가들은 주요 보안 문제들이 원칙을 벗어난 사람의 실수에서 비롯된다고 지적한다. 실수로 이메일을 클릭하고 불편하다는 이유로 규정을 위반한 채 USB를 사용한 것 등이 문제가 됐다는 것이다. 결국 문제는 사람이라는 것이다.

한 보안전문가는 “보안대책은 책임 회피에 초점이 맞춰져 경직돼 있으며 일선 공무원과 기업 직원들의 보안 의식도 아직 낮다”며 “많은 보안사고가 터졌지만 여전히 일부 임원들은 물론 최고경영자들 조차 보안은 불편한 것이라고 이야기 한다. 결국 불편하다고 무시하는 보안 수칙을 해커들이 파고들어 사고가 난다”고 말했다.

결국 전면적으로 보안을 다시 생각해봐야 한다는 지적도 나오고 있다.
권석철 큐브피아 대표는 “계속 사고가 터지는 상황에서 우리의 보안체계와 개념을 다시 한 번 생각해볼 필요가 있다”고 말했다. 총체적으로 보안체계 전반에 대한 고민과 반성, 그리고 개선이 필요하다는 것이다.

전문가들은 사이버공격이 사회적인 방식으로 이뤄지고 사람의 심리를 공략하는 만큼 보안도 기술을 넘어 사람을 중심으로 바뀌어야 한다고 지적한다. 기술적으로 사람의 심리적 허점을 보완해줘야 한다는 것이다. 이밖에도 단순한 방어를 넘어 해커를 추적하고 잡아내는 공격적인 방어 개념도 고려해야 한다는 지적이다.

[테크M = 강진규 기자(viper@techm.kr)]

<본 기사는 테크M 제41호(2016년9월) 기사입니다>