인터파크 해킹 45억 과징금 철퇴, 합당할까?

지난 5월 지능형 해킹공격으로 인해 2천만여명의 개인정보가 유출됐던 인터파크가 방송통신위원회로부터 44억8천만원에 달하는 과징금 철퇴를 맞았다.

정보통신망법 개정 전인 2014년 1천170만명 개인정보가 유출된 KT가 방통위로부터 7천만원 과징금, 1천500만원 과태료 처분을 받는데 그쳤다는 점을 고려하면 거의 60배에 달하는 수준이다. 같은 해 1억여건 개인정보가 유출됐던 카드3사(KB국민카드, 롯데카드, NH농협은행)는 신용정보법과 개인정보보호법에 따라 모두 합쳐 3천400만원 과태료 처분에 그쳤다.

그동안 개인정보유출사고에 대해 정보보호를 소홀히 한 기업들에게 솜방망이 처벌을 해왔다는 지적이 있었던 만큼 인터파크에 대한 중징계는 피할 수 없을 것으로 전망된다. 다만 개정된 정통망법에 따라 관련 매출액의 3% 수준으로 중징계 하는 만큼 처분사유에 대해 보다 조목조목 따져볼 필요가 있다는 시각도 제기된다.

■방통위 과징금 처분사유 따져 보니...

6일 방통위는 제68차 전체회의를 열고 개인정보보호를 위한 기술적, 관리적 보호조치 의무(정통망법 제28조 제1항)를 위반했다는 이유로 인터파크에 대해 이 같은 시정조치(안)을 의결했다.

이에 대해 인터파크는 "개인정보 침해 사고에 대한 책임을 통감하고 개선책을 마련하겠다"고 밝히는 한편 "적법한 절차를 통해 정확한 과실여부를 밝히겠다"는 입장이다.

방통위는 인터파크에 사상 최고 과징금을 부과한 이유를 크게 세 가지로 설명했다. 먼저 인터파크가 개인정보처리자 PC가 내부 업무망, DB계정 관리 프로그램에 접속을 유지한 채로 퇴근하고 나서까지 방치했다는 점이다. 두 번째는 사내에 저장된 개인정보에 접근할 수 있는 DB서버나 웹서버 시스템에 대한 비밀번호를 암호화하지 않은 평문 텍스트 형태로 저장해 관리해 왔다는 사실이다. 세 번째로 방통위에 정당한 사유 없이 개인정보 유출사실을 신고하고 사용자들에게 통지하지 않고 지연했다는 이유다.

보안 관계자에 따르면 일반적으로 내부 업무망이나 DB계정 관리 프로그램 등과 같이 중요한 정보를 다루는 시스템에 대한 접근통제를 제대로 관리하지 못했다는 점은 문제가 될 수 있다.

이와 관련 방통위는 인터파크 내부PC가 DB와 접속한 상태에서 2시간 동안 아무런 작업이 없으면 접속이 자동으로 끊어지는 시스템을 운영해 왔다고 지적했다.

최성준 방통위원장은 "설정이 그렇게 돼있었다면 2시간이 지나면 접속이 끊어진다는 사실에 대한 기록이 남아있을 것인데 이런 기록이 없다"며 "인터파크가 이 부분에 대해 명확한 자료를 내놓지 않고 있다"고 밝혔다.

이날 의견을 진술한 인터파크 담당 김광준 변호사는 "개인정보관리자가 업무를 수행하는 과정에서 1시간59분이 지난 시점에서 다시 PC를 누르면 접속이 유지되는 등 업무 특성 상 단서 기록을 찾는 건 어렵다"고 해명했다.

이 부분에 대해서는 인터파크가 두 차례 회의에서도 명확한 자료와 해명을 내놓지 않아 사실상의 처분사유가 됐다.

개인정보가 저장된 DB서버나 웹서버에 접속할 수 있는 비밀번호를 텍스트 파일로 저장하거나 엑셀파일 형태로 비밀번호 관리대장을 만든 뒤 여기에 접근할 수 있는 비밀번호를 텍스트 파일 형태 평문으로 저장했다는 사실도 인터파크의 책임이 큰 부분이다. 마치 모바일뱅킹에 필요한 보안카드를 사진으로 찍어서 스마트폰에 저장해 놓는 것이나 다름없기 때문이다.

■경찰 신고 뒤 방통위에 뒤늦게 보고, 처분사유로 애매

앞서 두 가지 사유에 달리 방통위에 신고를 지연했다는 점에 대해서는 논란의 소지가 있다. 인터파크 관계자에 따르면 이 회사는 공격자로부터 협박메일을 받고 개인정보유출 사실을 파악하는 시점에서 관할 경찰서에 신고했다. 경찰쪽에서는 이런 내용이 외부에 공개되면 범인을 잡기 힘들다는 의견을 냈다. 인터파크 관계자는 "범인을 잡는 것이 우선이라는 생각에 20여일이 지난 시점에서 방통위에 알리게 됐다"고 말했다.

일반적으로 경찰은 해킹사건에 대해 수사할 때 범인을 잡기 전까지는 외부에 관련 내용이 공개되는 것을 꺼린다. 범인이 수사에 들어갔다는 사실을 확인한 시점에 증거를 없애거나 숨길 가능성이 크다는 판단에서다.

인터파크 해킹 사건도 초기에 수사력을 집중해 범인을 잡았었다면 이런 정보가 외부로 유출되는 것과 같은 2차 피해를 최소화할 수 있었을 것으로 보인다. 그러나 결국 북한 정찰총국 소행으로 결론나면서 범인은 잡지 못하고, 인터파크에만 책임을 묻는 꼴이 됐다.

보안업계 관계자는 "이용자를 보호하기 위한 것이라면 범인을 잡아서 정보가 유출되지 못하게 막는 것이 최우선이라고 본다"며 "24시간 내에 방통위에 공지해 외부에 알려지게 하는 것은 범인 보고 도망가라는 것이나 마찬가지"라고 주장했다.

더구나 인터파크는 방통위는 물론 미래부와 함께 전자지급결제대행업자로 등록돼 있는 만큼 금융위에도 해킹 사실을 신고 해야한다. 한 곳에 신고하면 관련 부처들 간에 정보가 공유되는 시스템이 제대로 마련돼 있지 않은 탓에 신고 하느라 초동 대응을 제대로 못할 가능성이 크다.

■인터파크 "과거 사례 비춰 형평성 안 맞아"

인터파크는 KT와 같은 과거 사례에 비춰봤을 때 과징금 수준이 형평성에 맞지 않다고 주장한다. 2014년 개정된 정보통신망법은 개인정보유출 사고 시 관련 매출액의 최대 3% 혹은 1억원까지 과징금을 부과할 수 있도록 규정하고 있다. 인터파크는 "대기업, 금융권, 이통사 등 유사 사례 대비 60배에 달하는 과징금을 산정한 것은 형평성이나 비례의 원칙에 맞지 않는 것 같다"는 입장을 밝혔다.

인터파크는 사고를 통해 유출된 개인정보는 일방향 암호화가 적용돼 있고, 주민등록번호나 금융정보 등 민감한 개인정보가 유출되지 않았다는 점, 북한 소행이라고 발표한 점 이외에는 개인정보 보호조치 의무의 일부 위반 사실과 개인정보 유출 결과 사이에 인과관계가 명확치 않다는 점에 대해서도 반발했다.

방통위가 처분사유로 제시한 내용 중 "보안성이 떨어지는 가상화 방식을 적용해 운영한 행위"에 대한 지적도 보다 면밀히 짚고 넘어갈 필요가 있어 보인다.