2016년 7월 28일 목요일

[팩트체크] 고객 정보는 ‘싸니까’ 직원만 ‘믿으니까’ 인터파크 정보 유출 논란


인터파크 개인 정보 유출 면책 논란
인터파크의 개인 정보 유출은 이제 더 이상 언론의 메인에 떠오르지도 않을 정도로 일상화가 된 개인 정보 유출의 현주소를 제대로 드러내고 있다. 인터파크에서 무려 1,030만명의 개인 정보가 유출되었음에도 큰 관심을 주지 않는 것이다.

이러한 무관심에는 개인 사용자들까지 포함되었는데, 이제는 더 이상 털릴 정보도 없고 이미 털린 정보가 또 유출된다 하더라도 더 이상 무슨 의미가 있을까 하는 비관론까지 더해지면서 피해를 입은 개개인들 역시 무관심한 반응을 보이는 것이다.



   

하지만 그러는 사이, 인터파크의 개인 정보 유출과 관련해 인터파크 측의 태도가 문제가 되고 있다는 점은 제대로 알려지지 않고 있다. 이미 해킹 사실을 인지하고서 경찰에 신고한 이후에 이용약관을 변경한 것이다.

인터파크 개인 정보 유출로 피해를 입은 소비자들로서는 황당할 수밖에 없다는 입장이지만, 인터파크 측에서는 다른 의도가 없다며 이용약관을 개정하기 위한 목적일 뿐이라고 주장하는 상황이다. 그렇다면 이번 개인 정보 유출 사건의 진실은 무엇일까?



✎ 유출된 개인 정보에 비밀번호도 포함되었나? YES.
이번 개인 정보 유출 사건을 통해 유출된 회원 정보는 이름과 아이디, 이메일과 주소, 전화번호 및 암호화된 비밀번호로 알려져 있다. 또한 주민번호와 금융 정보는 유출되지 않았다고 한다.

그러나 암호화된 비밀번호라는 점에 대해서도 의문이 들고 있는 상황이다. 정말 암호화가 되어서 아무도 비밀번호를 인식할 수가 없다면 비밀번호를 변경할 필요도 없지만, 현재 비밀번호를 변경하라고 권고하고 있기 때문이다.


✎ 개인 정보 유출 사건을 이미 알고 있었나? NO.
인터파크 측의 주장에 따르면, 지난 5월 중 어느 시점엔가 직원의 컴퓨터가 해킹당했고 이후 2달에 걸쳐 해킹 피해 사고가 발생했다고 한다. 즉, 2달 동안 해킹이 되었음에도 그 사실을 인지하지도 못한 것이다.

   


그리고 지난 7월 12일, 경찰에 신고를 했고 20일에 ‘이용약관 변경 안내’를 공지했으며, 25일이 되어서야 사과문을 발표했고, 27일에 와서야 경찰청의 사이버 수사과에서 피해 전산망 분석을 진행 중인 상황이다.

즉, 팩트만 놓고 보자면 인터파크 측이 개인 정보 유출 피해를 지난 2달간 몰랐던 것은 사실이지만, 이것을 인지한 이후 경찰에만 신고했을 뿐 사용자들에게는 알리지 않았다는 점과 그 사이에 이용약관 변경을 했다는 점이다.



✎ 개인 정보 약관을 소비자 입장에서 변경했나? NO.
그렇다면 어떠한 내용으로 개인 정보 약관이 변경된 것일까? 인터파크가 고지한 약관의 제2장 8조 3항을 보게 되면 ‘회원이 자신의 ID와 비밀번호 혹은 개인 정보 등을 도난당하거나, 제3자가 사용하고 있다는 것을 인지한 경우에는 바로 회사에 알리고 회사 안내에 따라야 한다’는 내용이 포함되어 있다.

또한 8조 4항을 보게 되면 ‘회원은 선량한 관리자의 주의의무를 통해 자신의 ID와 비밀번호를 관리하여야 하며, 회원이 자동 로그인, SNS 연동 로그인 등 ID를 부주의하게 관리하거나 혹은 타인에게 양도, 대여함으로써 발생하는 손해에 대해서는 회사가 어떠한 책임도 부담하지 않는다’는 내용도 있다.



   

즉, 이러한 내용의 취지 자체가 개인이 자신의 ID와 개인 정보를 제대로 관리하지 않을 경우 기업은 그 피해에 대한 책임이 전혀 없다는 것인데, 이 내용을 추가한 시점이 바로 개인 정보 유출을 국민들에게 알려야 하는 시점이었다는 것.

인터파크 측에서는 개인 정보 유출과는 무관한 내용이라고 했지만, 그럼에도 이러한 약관을 뒤늦게, 그것도 개인 정보 유출을 일으킨 회사에서 고지한다는 것은 충분히 다른 의도가 있었을 것으로 보는 전문가들의 의견이 많다.



✎ 해킹을 통한 개인 정보 유출이 맞나? YES.
과거 다양한 정보 유출 사건이 있었는데, 그 가운데는 보안 직원이 의도적으로 정보를 판매한 경우도 있었다. 하지만 이번 사건의 경우는 일반적인 해킹과 닮았으면서도 더욱 진보된 기술인 APT 공격이 가해진 것으로 보인다.

APT 공격이란, 특정 업체를 목표로 한 다음 가장 취약할 수 있는 한 직원을 파고들어간다. 그리고 해당 직원에 대한 개인 정보와 회사 내에서의 권한 등을 점검하며 집중적으로 정보를 취득한 다음, 이메일이나 메시지를 보내게 되는 것이다.



이때 보내는 메일은 다른 업체인 것처럼, 혹은 믿을 수 있는 정보인 것처럼 속여서 열어 보게 만들고, 그 속에 해킹 프로그램을 심어두는 것이다. 그리고 이것을 사용자가 열어볼 경우 해당 사용자의 컴퓨터 사용 권한이 완전히 넘어가게 된다.

하지만 이러한 APT 공격도 회사의 개인 정보 서버를 일반 사용자의 컴퓨터와 완전히 분리하고, 개인 정보 전체를 암호화해서 별도로 보관할 경우에는 유출이 되지 않는 만큼 개인 정보 보호와 직원의 과도한 정보 접근 권한에 있어서 문제가 있었던 것으로 보인다.



✎ 알려진 APT 공격의 피해 사례는 있나? YES.
영국의 RBS 월드 페이 해킹 사건으로도 유명한 APT 공격은, RBS의 은행 시스템에 침투해 복제카드를 만든 다음, 전 세계에 있는 무려 2,100개의 ATM 기기를 통해 950만 달러를 인출한 사건이었다.

그러는 사이 은행은 이것이 해킹인지, 불법 자금 인출인지도 인지하지 못했다는 점에서 사회적인 파장이 만만치 않았고, 모건 스탠리 시스템을 통해 6개월에 걸쳐 200여 개 이상의 회사를 상대로 한 APT 공격도 있었다.



✎ 2주일 늦어진 사과문 발표, 괜찮나? NO.
그렇다면, 경찰에 신고한 시점과 비교해 소비자들에게 피해 사실을 알린 시점 사이의 13일의 공백은 문제가 없는 것일까? 이에 대해 인터파크 측에서는 범인을 잡고 색출하기 위해서 시간이 필요했다고 해명했다.

그러나 이것은 명백한 정보통신망법 위반이 된다. 정보통신망법에 의하면 정보가 유출될 경우 지체하지 말고 ‘이용자’에게 통보하라고 명시가 되어 있음에도 이것을 어긴 것이기 때문.



✎ 개인 정보 유출 피해 공지는 제대로 했나? NO.
또한 개인 정보 유출에 따른 피해 공지의 방식에도 문제가 있었다. 모든 서비스에서 인지할 수 있는 방법으로 크고 확실하게 공지를 해야 함에도, PC 웹사이트에만 제대로 알렸을 뿐, 모바일에서는 제대로 고지하지 않은 것이다.

결국, 이 사건을 뉴스로 접하기 전까지도 모바일을 메인으로 사용하는 대다수의 사용자들은 이와 같은 정보 유출 사실도 모른 채 인터파크에서 쇼핑을 하게 되는 것이고, 이것은 분명한 소비자 기만으로 보인다.



✎ 개인 정보 유출로 인한 피해는 없다? NO.
이러한 정보 유출이 이뤄지게 되면 한결같이 기업들은 현재까지 알려진 피해 소식은 없다고 말한다. 하지만 이러한 주장에는 전혀 근거가 없다. 해커들의 손에 넘어간 개인 정보가 어디서 어떻게 악용될지 기업이 알 수는 없기 때문.

어느 해커도 ‘인터파크의 정보를 통해 해킹한다’는 흔적을 남기지는 않기 때문에 이러한 기업의 주장은 전혀 설득력이 없으며, 유출된 정보가 이미 유출되어 있던 정보와 더해지며 더욱 큰 문제를 일으킬 가능성도 있는 상황이다.

그럼에도 기업들이 당당하게 이렇게 주장하고 거듭거듭 이러한 책임 회피성 발언을 해도 문제가 되지 않는 것은 이와 관련된 법률 조항이 매우 약하기 때문이다. 결국 개인 정보 유출로 인한 피해를 축소화해서 자신들의 손해를 줄이려는 것으로 보인다.



✎ 유출된 개인 정보의 가격은 비싸다? NO.
유출된 정보의 경우 일반적인 정보라면 건당 1원에, 대출을 위한 사기에 악용될 목적이라면 10원에서 최대 100원에, 불법 도박 광고를 위한 정보는 300원 정도에, 보다 세세한 고급 정보는 최대 2만원 정도에 거래가 된다고 알려져 있다.

하지만 대출을 위한 사기 목적에 악용되는 정도의 정보만 가지고 있더라도 엄청난 개인 정보가 포함되는 만큼, 유출된 개인 정보의 가격은 매우 낮아서 중국 브로커를 통해 어디로든 추가 유출될 우려가 큰 상황이다.



✎ 알려진 개인 정보 유출 사건은 많이 있나? YES.
현재까지 알려진 굵직한 개인 정보 유출 사건만 모아 보더라도 지난 2008년 옥션에서 1,000만명이, 2011년에 넥슨에서 1,320만명이, 네이트에서 3,500만명이, 2014년에는 KT에서 1,170만명이, 롯데카드와 농협 카드가 각각 2,600만명과 2,500만명이 피해를 입었다.

단일 사건으로 개인 정보가 유출된 최대 사건은 단연 2014년 1월에 유출된 KB 국민카드의 5300만명이 있다. 그리고 카드사의 유출 사건은 해킹이 아닌, 보안 직원이 의도적으로 정보를 판매한 사건이었다.



이유가 어떻게 되었든, KB 국민은행에서 유출된 개인정보는 무려 20가지를 넘었었는데, 이름과 이메일, 휴대전화, 직장 전화, 자택전화, 주민번호, 직장 주소, 자택 주소, 직장 정보, 주거생활, 이용 실적 금액, 결제계좌, 결제일, 신용한도금액, 연체금액, 신용등급 등등 수많은 민감한 금융 정보까지 노출된 것이다.

무엇보다 당시로서도 회사의 주요 컴퓨터에 보안 프로그램 하나 설치해놓지 않았던 농협을 비롯해, 보안 직원 한 명이 은행의 모든 개인 정보에 접근할 수 있도록 되어 있는 등의 허술한 시스템이 도마에 오르기도 했다.



✎ 손해 배상 소송, 승소는 가능한가? YES or NO.
이번 인터파크 개인 정보 유출 사건으로 인해 또다시 손해 배상 소송을 해야 한다는 의견들이 많이 나오고 있다. 그렇다면 이러한 기업의 해킹 사건에 대한 법원의 판례는 어떠할까?

옥션의 경우 무려 7년에 걸친 공방 이후 ‘옥션이 기술적으로 할 수 있는 개인 정보 보호 조치의 의무를 다 한 것으로 보인다’라는 판결을 얻으며 피해자들이 패소하는 판례를 남겼다.



이외에도 다른 많은 기업들이 소송에 휘말렸지만, KT의 정보 유출에 따른 28,000여명이 제기한 손해배상 청구소송이 10만원씩 배상하라는 판결을 받았을 뿐, 실제 소비자들이 원고에서 승소한 경우는 거의 없었다.

하지만 이번 인터파크의 경우는 시간이 흐르며 보안 기술도 높아졌다는 점. 그리고 다양한 약관에 따라 보안을 강화하고 개인 정보 서버를 분리해서 직원도 접근하지 못하게 해야 함에도 그렇게 하지 않은 점 들을 이유로 승소할 가능성도 나오고 있는 상황이다.



✎ 인터파크의 보안조치는 적절했나? NO.
개인 정보 유출에 따른 소송과 그 소송이 승소를 하기 위해서는 두 가지를 점검해야 한다. 우선은 보안조치가 적절했는가 하는 점과, 법을 언제 적용했는가 하는 점이다. 사실 보안은 아무리 노력하더라도 허점은 있을 수밖에 없기 때문.

법적으로 알려진 조건들에 따라 인터파크가 보안에 신경을 쓰고 적절한 조치를 했음에도 개인 정보가 유출이 된 사건이라면 법적인 책임을 피할 가능성이 높다. 하지만 인터파크가 개인 정보 약관을 변경하려 했고, 2주나 지난 시점에 고지했다는 점은 인터파크에게 불리하게 작용할 것으로 보인다.



실제 개인 정보의 기술/관리적 보호조치 기준 고시 제4조 6항에 따르면 개인 정보 시스템에 대한 접근 권한을 설정할 수 있는 정보 취급자의 컴퓨터 등을 물리적 혹은 논리적으로 망 분리를 해야 한다고 명시되어 있다.

그럼에도 인터파크가 이러한 고시에 따라서 합당한 보호조치를 취하지 않았었다면, 이 역시 인터파크에게 불리하게 작용할 것으로 보인다. 하지만 현재로서는 위법성이 밝혀진다 하더라도 보상이 매우 작아서 실효성은 낮아 보인다.



✎ 약관이 바뀌면 무조건 효력이 발생하나? NO.
여기서 가장 중요하게 짚고 넘어가야 하는 사실은 약관은 법의 테두리 안에 있다는 것이다. 이를테면, 물건을 구매할 경우 14일 이내에는 교환/환불이 가능하다는 것이 ‘법’이고, 무조건 환불 불가가 ‘약관’에 있다면, 약관은 효력이 없는 것이다.

그래서 약관 자체가 법의 테두리를 벗어나지는 않았는지를 살펴봐야 하고, 무엇보다도 약관의 해석은 ‘이용자에게 유리하도록’ 해야 한다는 것 또한 법적인 해석 방법임을 기억해야 한다.

그래서 인터파크가 뒤늦게 변경한 약관의 경우도 법의 테두리를 벗어나는 것이며, 이미 사용자가 이용중인 상황에서는 인지하지 못한 채 뒤늦게 추가되었다는 점에서도 그 효력은 없다고 봐도 무방하다.



#. 거듭된 개인 정보 유출, 해법은 없나?
이러한 개인 정보 유출 문제가 어제오늘의 일이 아니기 때문에, 대중도 크게 관심을 두지 않고 있고 언론마저도 침묵하고 있다. 그리고 기업은 앞선 판례들을 보면서 자신들도 유야무야로 넘어갈 것이라고만 생각하고 있다.

무려 5,300만명의 개인 정보를 유출시킨 KB 국민은행이 여전히 승승장구하고, 개인 정보 유출에도 보상을 회피한 옥션은 G마켓과 더해지며 시장 점유율을 높이는 사이, 대중들은 더 이상 개인 정보 유출에 큰 의미를 부여하지 않는 것이다.



무엇보다 법적인 제재가 너무나 취약하기 때문에 이러한 문제는 어디서나 일어날 수 있고, 특히나 중소기업의 경우는 더욱 심각한 것으로 알려지고 있다. 결국 법적인 제재가 강화될 필요가 있는 것이다.

거듭된 개인 정보 유출, 소비자들에게 확실히 고지하고 피해 보상안을 마련하며 범정부 차원에서 해킹 피해를 예방하기 위한 교육과 관련 제도를 정비할 필요가 있어 보인다. - MACGUYVER.


https://incorp.interpark.com/member/memberjoin.do?_method=getMemberInfo






0 개의 댓글: