[이민정기자] 해킹으로 인해 회원 1천30만명의 개인정보 유출된 인터넷 쇼핑몰 인터파크가 늑장대응과 책임회피성 이용약관 변경 논란에 휩싸였다.
27일 업계에 따르면 인터파크는 지난 5월 지능형 지속가능 위협(Advanced Persistent Threat, APT) 형태의 해킹으로 1천30만명에 달하는 고객 정보를 침해당했다.
APT 해킹은 메일이나 웹문서를 통해 악성코드를 설치하고 오랜 기간 잠복하는 방식으로 이번에 침해 당한 회원정보에는 이름, 아이디, 이메일주소, 주소, 전화번호 등이 포함됐다. 다만 주민등록번호 와 금융정보는 유출되지 않았다.
인터파크는 지난 11일 해킹 세력의 협박 메일을 통해 해킹 사실을 인지하고 13일 경찰에 고소장을 접수했다. 사건이 발생한 지 이미 두 달여가 지난 시점이었다.
더 논란이 된 것은 인터파크가 해킹 사실을 인지한 지 2주가 지나도록 침묵하다가 뒤늦게 '늑장대응'했다는 비판이 일기 시작하면서였다.
인터파크는 지난 11일 해커 집단이 금품을 요구하는 이메일을 보냈을 때 해킹 사실은 알아챘으나 2주가 흐른 지난 25일 언론을 통해 해당 내용이 보도되자 뒤늦게 공식 입장자료를 배포했다는 점에서 비판을 받고 있다. 게다가 홈페이지에 사과문을 게재한 것은 이틀이 지난 후였다.
인터파크 관계자는 "지난 11일 해킹 사실을 파악했으나 수사가 진행되고 있어 알릴 수 없었다"며 "증거가 충분히 모이기 전에 공론화가 되면 2차 피해를 막기 힘들 것이라 판단했다"고 말했다.
늑장대응 논란과 더불어 인터파크는 이용약관의 일부를 변경한 것에 대해 책임회피성이라는 비판을 받고 있다. 소비자들은 인터파크가 책임을 회피하기 위해 이용약관을 자의적으로 변경한 것이 아니냐며 의혹을 제기했다.
인터파크는 지난 20일 해킹에 관련한 입장을 표명하기에 앞서 이용약관 변경을 홈페이지에 공지하면서 '2장 제8조(회원의 ID 및 비밀번호에 대한 의무) 4항 회원은 선량한 관리자의 주의의무로 자신의 ID와 비밀번호를 관리해야 하며 회원이 자동로그인, SNS연동 로그인 등 ID를 부주의하게 관리하거나 타인에게 양도, 대여함으로써 발생한 손해에 대해 회사는 어떠한 책임도 부담하지 않습니다'라는 조항을 추가했다.
이에 대해 인터파크는 "이용약관 변경은 다음달 도입할 'SNS를 통한 간편 로그인서비스'를 위해 사전에 기획된 서비스로 이번 사태와 무관하다"고 해명하면서도 "불필요한 오해를 방지하고자 해당 조항은 삭제"한다고 밝혔다.
한편 인터파크 개인정보 유출사고의 원인을 조사하기 위해 미래창조과학부와 방송통신위원회는 '민관합동조사단'을 꾸려 조사를 실시할 방침이다.
인터파크 관계자는 "고객 정보를 지키지 못한 것에 대해서는 변명의 여지가 없다"며 "(정보유출 발생 후 일었던) 모든 논란에 대한 책임은 인터파크에 있다"고 말했다.
이어 "현재로서는 보상에 대해서 말하기에는 이르다"며 "우선 미래부와 방통위의 조사에 성실히 임하고 사건이 마무리되면 보상에 대해 논의할 것"이라고 전했다.
이민정기자 lmj79@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기