- 약관변경은 오비이락…2차 피해 없을것
<임종인(고려대 정보보호대학원 교수)>
- 털린 정보로 2차 피해 없다? 거짓말!
- 기업들 타격 적으니 보안 투자 회피
■ 방송 : CBS 라디오 <김현정의 뉴스쇼> FM 98.1 (07:30~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 주세훈(인터파크 마케팅 지원실 상무), 임종인(고려대 정보보호대학원 교수)
◆ 주세훈> 안녕하십니까?
◇ 김현정> 해킹을 당한 게 5월인데. 해킹이 됐다는 사실을 안 건 7월 11일.
◆ 주세훈> 네.
◇ 김현정> 정말로 인터파크는 두 달 동안 전혀 모르셨어요?
◆ 주세훈> 저희는 전혀 잘 몰랐고요. 특히 APT방식이라는 지능형 지속 가능 위협이라 불리는 해킹으로 판단하고 있습니다. 이것은 특정 타깃을 대상으로 장기간 동안 다양하게 진행되는 방식이라 쉽게 파악하기 어려웠습니다. 스스로도 참담하고 회원님들께는 죄송스러운 마음입니다.
◇ 김현정> 그런데요, 7월 11일에 해킹 사실을 알고도, 알고 나서도 그래서 경찰에 신고를 하고 나서도 고객들에게 바로 공지하지 않은 건 왜 그렇습니까?
◆ 주세훈> 저희가 해킹을 사전에 못 막기는 했지만 범인 검거를 통해 회원님들의 개인정보가 추가 유출돼서 2차 피해가 발생하는 것을 막는 것이 최우선이라고 판단하였고요. 저희가 2주 동안 범인과 수차례 협상을 전개하면서 경찰 측에 단서를 제공하고 있었습니다.
◇ 김현정> 잠깐만요. 2주 동안 범인과 협상을 했다는 건 접촉까지는 됐다는 건가요?
◆ 주세훈> 네. 저희가 다소 좀 불리하더라도 침해 사실 공개를 좀 유보하고 경찰수사에 적극 협력하는 것이 맞다고 생각했습니다.
◇ 김현정> 그러면 그러다가 2주 만에 공개를 한 건 결국 범인하고의 접촉, 협상이 틀어진 겁니까?
◆ 주세훈> 2주까지 협상을 끌고 오는 것도 쉽지 않았고요. 최근에 이제 이 부분들이 알려지면서 협상 부분에 대한 부분들은 어느 정도 지금 마무리된 상태라 볼 수 있습니다.
◇ 김현정> 그냥 이제 깨졌다, 이 말씀이세요?
◆ 주세훈> 많이 이제 알려지면서 이후 연락은 없는 것으로 알고 있습니다.
◇ 김현정> 아니, 저는 지금 잘 이해가 안 가는 게 그 협상을 유지해서 범인을 잡기 위해 2주를 끌었다고 말씀하셨는데 그래서 아무에게도 알리지 않았다라고 말씀하셨는데. 결국 협상이 알려져서 틀어졌다는 건 이건 앞뒤가 안 맞는 답변 아니신가요?
◆ 주세훈> 범인을, 단서를 잡기 위해서는 그 이메일이 오고가면서 그 사람들이 보내오는 이메일의 IP를 추적해야 하는 부분이 있거든요. 이 부분들이 이제 기사화가 되면서 그 부분들에 대한 불필요한 오해가 있을 수 있기 때문에 저희가...
◇ 김현정> 결국은 비밀을 유지했지만 이게 언론에 먼저 새나갔다 이 말씀이세요?
◆ 주세훈> 뭐, 그런 부분이 있습니다.
◇ 김현정> 그러면 이게 언론에 공개가 안 됐으면, 노출이 안 됐으면 그냥 계속 이런 식으로 협상이 더 유지될 뻔 했던 겁니까?
◆ 주세훈> 그거는 아니고요. 경찰 쪽과 얘기하면서 언제까지는 이 부분에 대한 대책을 받아보고 이후에는 종결을 해야 되는 상황이었던 거죠.
◇ 김현정> 지금 이해가 안 가는 건 아닙니다. 범인을 잡아야 한다는 생각 때문에 비밀리에 진행을 했다는 게 이해 안 가는 건 아니지만. 지금 고객들 입장에서는 결과적으로. 하루라도 빨리 하루라도 빨리 알아야 우리가 그 2차 피해에 대비했어야 되는데. 왜냐하면 이 정보들 가지고 보이스피싱 전화가 올 수도 있고요. 전화가 왔는데 이름을 아는 것과 모르는 거는 천지 차이니까.
◆ 주세훈> 네, 맞습니다.
◇ 김현정> 대처를 했었어야 하는데 우리는 여태까지 아무것도 모르고 있었다는 데 대해 1000만명이 분노하고 있는 거 아니겠습니까?
◆ 주세훈> 저희가 그 부분에 대해서 좀 고민을 많이 했었는데요. 이번에 당사 유출정보에는 주민번호라든지 금융정보가 없어서인지 저희 업체에 직접 협박을 해 온 경우라서 저희가 범인 검거에 비중을 뒀던 사안인 것 같습니다.
◇ 김현정> 판단을 그렇게 했던 것이다. 그런데 또 한 가지 지금 논란이 되는 게 그 고객들에게 알리지 않았던 2주의 시간 동안 인터파크가 약관을 변경했다는 게 알려지면서 논란이에요. 가장 문제가 되고 있는 게 8조 3항인데 내용이 이렇습니다. 회원이 자신의 ID 및 비밀번호 또는 개인정보 등을 도난당하거나 제3자가 사용하고 있음을 인지한 경우에는 바로 인터파크에 알려야 한다. 이 조항은 한마디로 얘기하면 개인 부주의로 개인정보가 유출되면 회사 책임은 없다, 이런 얘기 아닌가요?
◆ 주세훈> 이 부분은 정말 오해신데요. 저희가 당사가 7월 20일 이용약관 일부 변경 사실을 공개한 바는 있습니다. 그런데 이는 이번 개인정보 유출과는 전혀 무관한 내용으로 기존의 다른 업체들도 서비스 중이었던 페이스북이나 카카오톡 같은 주요 SNS ID로 손쉽게 로그인 하는 서비스 도입을 위한 공지였거든요. 불필요한 오해를 야기하고 있어서 해당 조항을 삭제하고 서비스도 일부 유보시킨 상태입니다.
◆ 주세훈> 네.
◇ 김현정> 그런데 해킹 사실을 내부에도 알리지 않았기 때문에 내부에서 모르고 이렇게 약관 개정을 해 버린 거다?
◆ 주세훈> 네, 맞습니다.
◇ 김현정> 오비이락이다 이런 말씀이시군요.
◆ 주세훈> 네, 맞습니다.
◇ 김현정> 그런데요, 상무님. 저는 이번 해킹과 관계없이 이 조항 자체도 좀 문제라고 보는 것이 이 약관은 분쟁이 났을 때 책임을 소비자한테 떠넘기기 위한 어떤 의도를 가진 게 아닌가? 이거를 왜 소비자가 알게 되면 신고를 먼저 해야. 뭐 신고 할 수는 있습니다만 신고하지 않을 경우에는 그러면 소비자가 그 유출에 대한, 제2차 피해에 대한 모든 책임을 져야 한다. 이거는 소비자에게 좀 불리한 약관 아닌가요?
◆ 주세훈> 그 부분을 설명드리면요. 지금 이렇게 해커 같은 부분들은 정확하게 이제 저희 업체가 책임 있는 부분인데. 이 서비스는 주요 SNS 계정을 이용해서 로그인하는 거다 보니까 개인 소셜 계정이지 않습니까?
◇ 김현정> 예를 들면 페북에 내가 로그인하면 동시에 인터파크도 로그인 되는 이런 서비스인 거죠? 연동 서비스.
◆ 주세훈> 네. 그 관리 부분에 대해서 문제가 생겼을 때는 인터파크에 빨리 알려주셔야 그런 부분에 대한 저희가 사고라든지 이런 부분들을 미연에 방지할 수 있다는 부분을 알려드리는 한 부분이었습니다. 저희가 이 부분에 대해서는 충분히 고객님들의 의견이 맞다고 생각해서 해당 조항을 삭제하고 서비스 도입을 유보시킨 상태입니다.
◇ 김현정> 그나저나 다른 것도 아니고 이게 우리 신용카드 정보라든지 주민번호 이런 걸 다 제공하는 서비스 아닙니까? 쇼핑몰이기 때문에. 이렇게 평범한 회사에서 벌어질 법한 해킹이 벌어지고 나니 소비자들은 정말 어이가 없습니다.
◆ 주세훈> 저희가 기본적으로 최근에 관련 법들이 많이 바뀌어서요. 주민번호라든지 이런 부분들 저희가 보관하고 있지는 않습니다. 그리고 개인정보를 최소한의 정보를 받는 걸로 가이드라인이 바뀌어서 그 부분들에 있어서 이번에 노출이 된 부분들 관련된 2차 피해는 그나마 좀 예방할 수 있지 않을까 생각을 하고 있습니다.
◇ 김현정> 지금 심각하게 생각은 하고 계시죠, 이 부분?
◆ 주세훈> 네, 그렇게 생각하고 있습니다.
◇ 김현정> 이게 주민번호가 안 됐으니까 문제없는 것 아니냐, 이렇게 할 상황은 정말 아닌 것 같고요. 1000만명이면 국민의 몇 퍼센트입니까?
◆ 주세훈> 이번 개인정보 유출로 많은 분들께 심려를 끼쳐드린 점에 대해서 진심으로 머리 숙여 사과 말씀드립니다. 대단히 죄송합니다.
◆ 주세훈> 감사합니다.
◇ 김현정> 인터파크의 주세훈 상무 먼저 만났습니다. 계속해서 고려대학교 정보보호대학원 임종인 교수를 연결해 보죠. 임 교수님 나와 계십니까?
◆ 임종인> 안녕하세요, 임종인입니다.
◇ 김현정> 이번 해킹사고 보면서 전문가로서 어떤 생각 드셨습니까?
◆ 임종인> 능력이 없는 사람한테 너무 많은 권한을 줬다 이런 생각을 했습니다.
◇ 김현정> 그게 무슨 말씀이세요?
◆ 임종인> 그러니까 인터파크는 정보를 제대로 지키고 관리할 만한 능력이 없는데 이들을 믿고 국민들이 너무 많은 정보를 줬고 정부가 그런 수집권한을 허용했다, 이런 생각을 했습니다.
◇ 김현정> 그런 생각이 드셨어요. 그런데 앞서서 인터파크 측의 해명은 이 해킹 기술이 기초적인 기술이 아니라 상당히 고도화된 기술, 장기간 동안 침투하는 거기 때문에 우리가 두 달 동안 몰랐다, 이런 얘기하는데요.
◆ 임종인> 이 기술은 APT라고 해서요. 사실은 해커가 악성코드를 심어가지고 대개 권한을 가진 직원들한테 메일을 뿌립니다. 그러면 그 직원들 중에 부주의한 사람이 첨부파일을 열어보는 순간 자기도 모르는 사이에 감염되거든요.
◇ 김현정> 악성코드에.
◆ 임종인> 감염돼서 해커가 그 직원의 권한을 이용해서 내부에 이제 침투하는 겁니다.
◇ 김현정> 그렇군요.
◆ 임종인> 그래서 지금 보면 이것을 막을 수 없는 게 아니라 민방위 훈련 하듯이 직원들한테 가짜 악성코드가 첨부된 메일을 날립니다. 그러면 직원들 중에서 누군가 부주의하게 그걸 열어보지 않겠습니까? 열어보면 그 직원들한테 나중에 경고를 하죠. 네가 이래서 이번에 걸려들었다. 이렇게 직원들을 평소에 많이 훈련을 시켜야 하고요. 이번에 더 큰 문제는 직원 한 명이 감염됐다고 그랬잖아요.
◇ 김현정> 그렇죠.
◆ 임종인> 한 명의 직원이 지금 1000만명의 개인정보를 갖다 열람하고 가져갔어요. 이거는 권한 관리라고 하는 보안의 기본이 적용되지 않은 겁니다. 일반적으로 자기가 직무하고 관련해서 접근할 수 있는 정보의 양에 한계가 있어야 하거든요. 권한 관리라고 하는 보안의 기본이 적용되지 않은 굉장히 낮은 수준의 보안 수준을 가지고 있다. 이걸 보여주는 케이스라고 볼 수 있습니다.
◇ 김현정> 그 메일을 연 것도 문제고 또 열어서 악성코드에 감염된 직원이 너무 많은 권한을 가지고 있었던 것. 단계가 나눠지거나 구획이 나눠지지 않았던 것도 문제고. 보안적으로 봤을 때는 상당히 허술했다, 이런 말씀이시군요.
◆ 임종인> 맞습니다.
◇ 김현정> 게다가 제가 가장 걱정스러운 건 2차 피해예요, 2차 피해. 이 인터파크 측에서는 2차 피해는 걱정하지 말아라. 주민번호가 노출되지 않았다. 고작 이름, 전화번호, e-mail 정도 노출됐으니까 크게 염려는 하지 말라고 하는데, 괜찮겠습니까?
◆ 임종인> 그게 사실 현재 정보통신망법에 의하면 주민번호는 수집하지 못하게 되어 있고요, 2012년부터. 그다음에 이제 비밀번호는 암호화하게 돼 있어요. 그러니 (인터파크는) 최소한의 것만, 그러니까 비밀번호는 법에 암호화하는 것이 의무화돼 있으니까 암호화 하고. 나머지는 돈이 많이 드니까 암호화 안 한 거죠. 관리하기 나쁘고.
◇ 김현정> 이름, 전화번호 이런 것도 다 암호화할 수는 있어요?
◆ 임종인> 암호화할 수 있죠. 그러니까 암호화할 수 있는데 그렇게 하면 투자를 더 해야 하니까 사실은 암호화를 안 한 거죠. 그리고 설사 암호화를 안 했다 할지라도 걱정 없다고 하는데. 요즘에 이메일 주소라든지 주소라든지 뭐 이런 전화번호라든지 이런 것도 굉장히 중요한 개인정보잖아요.
◇ 김현정> 보이스피싱.
◆ 임종인> 이런 걸 이용해 가지고 보이스피싱이라든지 아니면 스팸이라든지 아니면 그 정보를 또 조합해 가지고 기계를 돌려 가지고 비밀번호를 추측하기도 하고.
◇ 김현정> 그러니까 이름하고 전화번호를 이용해서 시스템을 돌려서 비밀번호까지 알아내는 이런 경우도 있어요?
◆ 임종인> 그러니까 비밀번호를 갖다가 한번 추측을 하는 거죠. 추측을 해 가지고.
◇ 김현정> 수만 가지 경우의 수를 가지고?
◆ 임종인> 그렇죠. 기계를 돌려 가지고. 그래 가지고 이제 그 비밀번호 갖고 사람들이 보통 ID, 패스워드를 유사한 걸 많이 쓰거든요.
◇ 김현정> 그렇죠.
◆ 임종인> 그러니까 이제 그걸 가지고 2차 피해가 사실 다양하게 날 수 있는데 2차 피해가 안 난다는 거는 거짓말이죠.
◇ 김현정> 저는 이게 지금 처음 있는 일이 아니거든요. 2008년에 옥션도 당했고 2012년에 네이트도 당했고 도대체 왜 그런데 이런 일이 계속 반복되는 것인가. 우리 IT강국이라고 계속 얘기하는데. 그 부분이 이해가 안 갑니다.
◆ 임종인> 사실은 미국이나 이런 곳에서는 우리가 이제 이런 사건이 일어나면 징벌적 배상제라든지 집단소송이라든지 이런 걸 통해서 기업이 실제로 아픔을 느끼거든요. 신뢰가 하락되기 때문에. 기업들이 개인정보 유출사건이 일어나면 본인들한테 굉장히 큰 채찍이 되어버려요.
◇ 김현정> 치명적인 어떤 물질적인 해도 있고 이미지적인 해도 있고 이렇게 된다는 거군요.
◆ 임종인> 그래서 예를 들면 지난 2014년 초에 카드정보 유출사건 났을 때 3개의 카드사 CEO들이 전부 사직하지 않았습니까?
◇ 김현정> 그랬었죠.
◆ 임종인> 그리고 그다음에 이제 케이스별로 갈리기는 하지만 집단소송이 벌어져 10만 원씩 물어줘라, 이런 얘기도 있었고. 지금도 그 카드사들은 굉장히 이미지 하락에 시달리고 있는데. 인터파크는 개인들이 금융정보를 거기다 맞기지 않습니까?
◇ 김현정> 카드번호 다 찍죠.
◆ 임종인> 다 찍죠. 그렇게 해서 자기들이 사실은 금융기관 못지않게 우리들의 개인정보를, 중요한 개인정보를 많이 가지고 있음에도 불구하고 별로 그런 인식을 안 하는 것 같아요. 그다음에 이제 정부도 또 문제예요. 정부도 우리가 어떤 일을 하게 하려면 채찍과 당근이 있잖아요. 그래서 정부가 개인정보 보호라든지 정보보호를 위해서 투자를 많이 하는 그런 모범기업들 좀 많이 발굴해서 그 기업들이 자기들이 한 것에 대해서 성과를 인정받을 수 있는 시스템을 만들어야 한다고 생각하는데. 그런 부분이 좀 아쉬워요. 그래서 제가 보안수준 공시제 이런 걸 많이 얘기하거든요. 그런데 왜 안 되는지 모르겠어요.
◇ 김현정> 왜 안 되는지 모르겠다, 외쳐온 지가 언제인데, 이런 말씀. 여러분 어떻게 생각하십니까? 여기까지 오늘 말씀 듣죠. 임종인 교수님, 고맙습니다.
◆ 임종인> 고맙습니다.
◇ 김현정> 고려대학교 정보보호대학원 임종인 교수였습니다.
* 방송을 마치고 인터파크 측에서 보안수준에 대한 해명글을 다음과 같이 추가로 전해왔습니다.
"인터파크는 2015년 개인정보관리체계(PIMS) 인증을 받은 바 있으며, 업계 평균 수준 이상의 기술과 인프라를 갖추고 있습니다"
"세부적으로는 APT방어 시스템, DB접근제어시스템, 시스템접근제어시스템, 망분리 시스템, PC통합보안 시스템, 네트워크접근제어시스템 등을 운영 중에 있으며 고객 서비스 보안을 위해서 웹방화벽, IPS, 방화벽, DB암호화 등의 시스템을 가동하고 있습니다. 이와 같은 보안 시스템은 국내에서 결코 낮은 수준의 보안시스템은 아님을 밝힙니다."
[김현정의 뉴스쇼 프로그램 홈 바로가기]