인터파크 고객 1030만명 정보 샜다

해커 금품 요구때까지 두달간 몰라
악성코드 e메일에 전산망 해킹 당해 주소 등 털려… 주민번호는 유출 안돼
범인들 “30억 규모 비트코인 내라”

대형 인터넷 쇼핑몰인 인터파크가 해킹돼 1030만 명에 이르는 개인 정보가 유출되면서 경찰이 수사에 나섰다. 기업이 축적한 개인 정보가 대량으로 유출되는 일이 잇따르는 가운데 인터파크 측은 범죄를 저지른 일당이 유출 사실을 공개하겠다며 30억 원에 이르는 금품을 요구할 때까지 두 달 동안 유출 사실을 몰랐던 것으로 드러났다.

25일 경찰청 사이버안전국과 인터파크에 따르면 5월 인터파크의 서버가 해킹당하면서 고객 1030여만 명의 이름과 아이디, 주소, 전화번호 등의 정보가 유출됐다. 이번 해킹은 악성코드를 심은 e메일을 인터파크 직원에게 보내 개인용 컴퓨터(PC)를 먼저 장악하고 이 PC를 이용해 데이터베이스(DB) 서버 접근이 가능한 PC에 침투한 후 DB로 파고드는 방식으로 이뤄진 것으로 추정된다. 정보통신망 이용촉진 및 정보보호에 관한 법률상 업체에서 보관하지 않도록 하고 있는 주민등록번호는 이번에 유출되지 않았다.

특히 이들은 정보를 빼내는 데 성공하자 7월 e메일을 통해 인터파크 측에 “개인 정보 유출 사실을 공개하겠다”고 협박하며 추적이 어려운 가상화폐 ‘비트코인’ 형태로 30억 원 규모의 금품을 달라고 요구했다. 인터파크 측은 이런 협박을 받은 뒤에야 유출 사실을 인지하고 경찰에 수사를 의뢰했다. 사건을 수사 중인 경찰청 사이버안전국은 해킹이 시작된 인터넷 프로토콜(IP) 추적에 주력하고 있다.

유출된 정보를 악용한 2차 피해 우려와 관련해 경찰 관계자는 “유출된 정보가 다른 곳에 공유된 흔적이나 뚜렷한 2차 피해 징후는 아직 발견되지 않았다”고 밝혔다. 하지만 기업을 통한 대량의 개인정보 유출이 잇따르는 가운데 전문가들은 기존에 유출된 정보와 결합돼 범죄에 악용될 소지가 충분하다고 지적하고 있다.

이상진 고려대 정보보호대학원 교수는 “기존에 여러 경로로 유출된 개인정보의 양이 막대하기 때문에 새롭게 유출된 정보와 결합해 보다 정확하고 최신화된 개인 정보가 만들어지고 이를 바탕으로 한 2차 피해가 일어날 가능성이 있다”고 말했다. 이와 관련해 경찰 관계자도 “보이스피싱이나 기업의 마케팅 활동 등에 쓰일 수 있는 수준의 정보가 유출된 것으로 판단하고 진행 상황을 살펴보고 있다”고 밝혔다. 최근 법원은 KB국민카드와 NH농협카드 등에서 발생한 총 1억 건 이상의 개인 정보 유출 사건과 관련해 카드사의 유죄와 배상 책임을 인정하기도 했다.

한편 미래창조과학부와 방송통신위원회는 이번 유출 사건의 원인을 조사하기 위해 미래부, 방통위 공무원 및 민간 전문가로 구성된 민관 합동조사단을 구성해 조사를 실시한다고 이날 밝혔다. 유출된 개인정보를 이용한 파밍, 피싱 등의 2차 피해를 예방하기 위해 이용자들에게는 비밀번호를 변경할 것을 당부했다. 방통위는 개인정보 유출로 인한 2차 피해로부터 이용자를 보호하기 위해 개인 정보 불법 유통 및 노출 검색 모니터링을 강화하는 한편 개인정보침해신고센터(www.i-privacy.kr)를 24시간 가동해 신고를 받기로 했다.

김도형 기자 dodo@donga.com·신수정 기자 crystal@donga.com·손가인 기자 gain@donga.com