인터파크, 개인정보유출 사건

지난 25일 인터파크와 경찰은 개인정보 유출에 대해 공개하였다. 사건의 시작은 5월 초 신원 미상의 크래커에게 회원 1,030만 명의 개인정보를 해킹당했다. 유출된 정보는 이름, 아이디, 생년월일, 전화번호, 이메일, 주소 등이다. 이 정보 유출되었으면 주민등록번호, 계좌번호, 패스워드 유출까지 의심이 되는 상황이다.

인터파크는 해커로부터 협박을 받을 때까지 두 달 동안 피해 사실을 전혀 알지 못했다. 정보 유출은 해커가 이달 초 인터파크 경영진에게 30억 원에 해당하는 비트코인(온라인 거래에서 쓰이는 가상의 디지털 화폐)을 요구하는 협박 이메일을 보냈고, 인터파크는 자사 보안시스템에서 증거를 못 찾고 해커에게 증거를 요구하게 된다. 그리고 해커들이 증거자료를 인터파크에 보내게 되면서 사태파악을 하기 시작한다.

이후 인터파크는 경위 파악을 위해 경찰청과 협력해왔다. 하지만 그사이 1,030만 명에 회원에 대한 배려는 어디에도 없었다. 수사 명목하에 고객들에게는 해킹 사실을 인지한 7월 11일부터 2주가량 대외적으로 알리지 않았고, 1,030만 명의 회원의 2차 피해 대응시간도 늦어졌다는 부분이다. 또한, 7월 20일 인터파크는 기존의 약관에 일부 내용을 추가한 ‘약관 변경 안내문’을 홈페이지에 게재했다. 수정된 약관의 제8조(회원의 ID 및 비밀번호에 대한 의무)에는 다음과 같은 내용이 담겨 있다.

수정된 약관 제8조

△회원은 자신의 ID와 비밀번호를 스스로 관리해야 한다. △자동 로그인, 사회관계망서비스(SNS) 연동 로그인 등 서비스를 활용하는 회원의 부주의한 ID 관리에 대해서도 회사는 책임을 지지 않는다. △ID를 타인에게 양도, 대여함으로써 발생한 손해 역시 회사는 책임이 없다.

이 같은 약관 변경은 인터파크가 해킹의 피해를 개인의 책임으로 떠넘기려는 태도로 보일 수 밖에 없다. 이후 논란이 되자 해당 조항을 삭제 및 유보한 상태이다.

사건 경과를 보면 인터파크가 해킹 발생 전후에 최선을 다했는지 의심스럽다. 사실 파악은 둘째 치더라도 피해를 본 회원들에게 어떠한 통보도 없었다. 수사를 돕기 위해서였다고 하지만 1,030 만 명의 2차 피해에 대한 위험을 생각하면 그게 합당한 조치였다고 이해하기 어렵다. 또한, 20일의 이용약관 부분은 정보유출과 무관하다고 했지만 왜 하필이면 정보유출을 파악한 후에 했을지도 의심스럽다.

기업의 위기관리는 또 다른 기회가 될 수 있다. 존슨앤존슨의 타이레놀의 사례를 보면서 깨닫길 바랄 뿐이다.