GS칼텍스 홈피 한달 넘게 ‘해킹 무방비’

“차단장치 완비” 해명과 달리 보안서버 구멍

일부 변호사, 집단소송 카페 열고 피해자 모집

사상 최대 규모의 개인정보 유출 사고를 일으킨 GS칼텍스 측이 해킹 차단장치를 이미 완비했다고 해명한 것과 달리 8일 오전까지 홈페이지(kixx.co.kr)의 보안서버에 구멍이 뚫렸던 것으로 드러났다.

3일 방송통신위원회 산하 한국정보보호진흥원이 이 같은 사실을 적발했음에도 불구하고 별다른 조치를 취하지 않은 사실도 함께 밝혀졌다.

‘정보통신망 이용 촉진 및 정보 보호 등에 관한 법률’ 76조에 따르면 회원 가입에 개인정보가 필요한 홈페이지는 의무적으로 보안서버를 갖춰야 한다.

8일 정보보호진흥원에 따르면 이날 오전까지 GS칼텍스의 홈페이지에는 스니핑(Sniffing·시스템에 전송되는 개인정보를 중간에서 가로채는 해킹 수법)을 차단하는 장치인 보안서버가 전혀 구축돼 있지 않았다.

GS칼텍스 보안 담당자는 “8월부터 계열사 간 ID 통합관리를 위해 홈페이지를 바꾸는 과정에서 보안서버를 제대로 챙기지 못한 것으로 보인다”고 밝혔다. 이번 개인정보 유출 사건은 해킹에 의한 것은 아니지만 한 달가량 보안서버가 뚫려 있었던 것이다.

유출 사건 발생 직후인 5일 GS칼텍스 나완배(정유영업본부장) 사장은 긴급 기자회견을 열어 “별도의 방화벽과 보안 프로그램을 모두 설치해 해킹을 철저히 방지하고 있다”고 밝힌 바 있다.

그러나 본보의 취재가 시작되자 정보보호진흥원이 8일 오전 9시경 GS칼텍스에 관련 사실을 뒤늦게 통보했고 이에 따라 GS칼텍스가 고객들이 피해 여부를 체크하는 메뉴에만 보안서버를 구축한 것으로 확인됐다. 이 사건을 수사 중인 경찰청 사이버테러대응센터는 이날 고객정보 유출 용의자인 GS칼텍스 자회사 직원 정모(28) 씨 등 3명을 구속했다.

한편 일부 변호사들은 포털사이트에 카페를 열어 이번 개인정보 유출 피해자들을 상대로 집단소송 추진을 위한 소송인단 모집에 나섰다.

김상운 기자 sukim@donga.com