25일 관련 업계 전문가들은 인터파크가 통상적인 수준의 해킹 위협을 받았고 직원의 부주의로 참사가 일어난 것이라고 입을 모았다. 인터파크는 전날 ‘지능형 지속가능 위협(APT) 공격을 통해 1030만명의 회원 개인정보가 유출됐다고 밝혔다. APT 해킹은 메일이나 웹문서를 통해 악성코드를 설치하고 오랜 기간 잠복하는 방식이다. 이번에 침해당한 회원정보에는 이름, ID, 이메일주소, 주소, 휴대폰 번호 등이 포함됐다.
김승주 고려대 정보보호대학원 교수는 “얼마나 대단한 공격을 당했는지는 조사 결과가 더 나와봐야겠지만 전형적인 APT 공격으로 보인다. 인터파크 직원이 해커가 보낸 악성코드가 첨부된 이메일을 직접 열어 본, 부주의에 의한 사고”라며 “APT 공격은 통상 있고 어쩔 수 없이 당할 수밖에 없다고 이야기하는 경우도 있는데 이메일을 통해 당한 것을 보면 (인터파크의) 내부 시스템이 치밀하지 못했던 것 같다”고 말했다.
보안업체 하우리의 최상명 CERT실장은 “우리가 알고 있는 웬만한 기업들도 막상보면 보안 대비가 안 돼 있는 곳이 의외로 많다. 해킹을 당하기 전까지는 별로 신경을 안 쓰기 때문”이라며 “모니터링만 제대로 하고 있었어도 이상 징후를 잡을 수 있는데 직접 해킹당한 적이 없다 보니 평소 정보보안에 안이했던 측면이 있는 것 같다”고 강조했다.
특히 범인들이 돈을 요구할 때까지 회사 측이 몰랐다는 점은 비판의 여지가 많다. 13일 경찰에 정식 수사를 의뢰하고 나서 24일까지 11일 동안 고객에게 유출 사실을 알리지 않았다는 점도 앞으로 논란이 될 전망이다.
인터파크 측은 “경찰에 먼저 신고를 하고 범인 검거나 2차 유통에 관련된 방지 차원에서 다소 공백이 발생했다”며 “그 부분에 대한 패널티를 감수하겠다”고 해명했다.
▶ 관련기사 ◀
☞인터파크, 홈페이지에서 개인정보 유출 확인 서비스
☞[특징주]인터파크, 대규모 고객정보 유출 소식에 약세
☞인터파크, 자체 보안관제로 운영…‘위탁하는 게 나았다?’