[일요시사 취재1팀] 안재필 기자 = 웹사이트 가입을 위해 개인정보를 제공하는 것이 당연하게 여겨지고 있다. 개인정보보호법이 시행된 이래 수집 강도는 낮아지고 있지만 여전히 주소 등 상세한 기재가 필요하다. 유럽 등 타 국가의 사이트는 가입을 위해 필요한 개인정보를 최소한으로 한다. 메일 주소와 사는 지역(시·구)정도다. 웹사이트로 인한 개인정보 유출 피해가 일어나기 힘든 구조다.
인터넷 쇼핑몰 인터파크가 도마에 올랐다. 대규모로 유출된 고객들의 개인정보 때문이다. 이에 인터파크는 지난 27일 사이트에 사과문을 올렸지만 지금은 내려간 상태다. 사과문에는 지난달 11일 해커 조직에 의해 APT(지능형 지속가능 위협)형태의 해킹에 고객 정보 일부가 침해당한 사실을 인지했다고 적혀있다.
피해에 늦장 대응
인터파크가 밝힌 바에 따르면 이번에 유출당한 회원 정보는 이름, 아이디, 메일 주소, 전화번호 등으로 추정된다. 개인별로 유출항목에 차이가 있다. 주민등록번호와 금융정보 등은 유출되지 않았으며 비밀번호는 암호화돼 있어 안전하다고 한다. 현재 인터파크는 개인정보 유출검색 페이지를 따로 만들어 놨다. 해킹 사실을 알게 된 당일, 경찰청 사이버 안전국에 신고하여 공조도 시작했다.
인터파크에서 유출된 개인정보는 약 1030만건으로 추정된다. 인터파크는 해킹이 된 지 2달이 지나서야 해킹 사실을 알게 되어 개인정보 관리에 대한 부실함을 드러냈다. 해킹 사실을 알고도 왜 바로 공지를 하지 않았냐는 비난도 나왔다.
이에 인터파크의 한 관계자는 CBS <김현정의 뉴스쇼>에서 “범인 검거를 통해 회원들의 2차 피해를 막는 것이 최우선이라고 판단했다. 2주간 범인과 수차례 협상을 전개하며 경찰서에 단서를 제공했다”고 해명했다.
개인정보 유출 책임을 피하기 위해 약관을 변경했다는 의혹도 있다. 약관 제 2장 제 8조에 ‘ID를 부주의하게 관리해서 발생한 손해에 대해 회사는 책임지지 않는다’는 내용을 추가한 것이다. 인터파크는 약관에 대해 “SNS 연동 로그인 서비스에 관한 것이라 해킹 사고와 무관하다”는 말을 한 것으로 알려졌다.
현재 인터파크는 추가된 조항을 삭제하고 ‘SNS를 통한 간편 로그인서비스’도입 시점을 유보하기로 했다. 인터파크는 지난 27일 홈페이지에 사과문을 올렸다. 사과문에는 인터파크가 핌스(PIMS)인증을 획득 하는 등 개인정보 보호 및 보안에 노력을 했지만 어쩔 수 없었다는 뉘앙스의 글이 적혀있었다.
유출로 인한 피해 사례들은 SNS에도 올라왔다. 한 피해자는 자신의 핸드폰으로 경매사이트 코드번호가 왔다며 사진을 올렸다. 피해가 있을까 우려하는 글도 남겼다. 다른 피해자는 사과문에 대해 “홈페이지에만 올려 사과문이 있었는지도 몰랐다. 해킹사실과 사과문을 문자로 보내야 하는 것 아니냐“는 말도 했다. 대표의 사과도 없이 사과문만 올리면 다냐는 말도 있었다.
현재 유출피해자들은 인터파크를 상대로 단체소송을 준비 중이다. 네이버의 ‘인터파크해킹 피해자 공식카페’에는 지난 28일 오후 12시 기준 약 4000여명이 가입해 소송에 관한 의견을 나누고 있다. 약 2만7000여명이 가입된 ‘소비자 연합회’에서도 단체소송 이야기가 나오는 중이다.
대규모 개인정보 유출사건은 이번 사건뿐만이 아니다. 지난 2008년 국내 최대 전자상서래 웹사이트인 옥션이 해킹을 당해 회원정보의 파일을 통째로 유출시킨 일이 있었다. 당시 유출된 개인정보는 약 1863만건이었으며 이용자 가입 시 기재한 집 주소, 전화번호, 주민등록번호 등이 유출됐다.
당시 피해자들은 1인당 400만원씩 지급하라는 소송을 걸었지만 법원은 옥션의 손을 들어줬다. 해킹 사고 당시 옥션이 취하고 있던 각종 보안조치, 해킹 방지 기술의 발전 상황 및 해킹 수법 등에 비춰 옥션에 과실이 있다고 보기 힘들다는 판결이었다.
해명에 또 해명…보상 언급 전혀 없어
SNS서 피해 인증 “소송 준비도 들어가”
같은 2008년도엔 GS칼텍스 회원 약 1125만명의 개인정보가 유출되는 사건도 있었다. 서울 역삼동 골목에서 우연치 않게 발견된 CD·DVD 속에 회원들의 개인정보가 담겨있다는 제보를 통해 언론에 알려졌다. 그 안에는 정부 고위 인사들의 개인정보까지 담겨 있었다.
하지만 수사결과 GS칼텍스의 외주업체인 GS넥스테이션의 직원이 벌인 자작극이라는 것이 밝혀졌다. 그는 고객정보의 가치를 올려 금전적으로 이득을 볼 심산이었다. 이용자들은 GS칼텍스와 넥스테이션에 1인당 100만원의 위자료 청구소송을 냈지만 법원은 “개인정보가 3자에게 유출된 증거가 없다”며 배상책임이 없다는 판결을 냈다.
법원이 피해자의 손을 들어준 사례도 있다. 지난 2014년 KT에서 1년간 해킹을 당해 개인정보 1200만건이 유출된 일이다. 당시 피해자 2만8000여명이 KT를 상대로 손해배상 청구를 했다. 서울 중앙지법은 KT에게 소송자 2만8000여명에게 10만원씩 배상하라고 했다.
같은 해 1월 NH농협·KB국민·롯데카드 3사의 고객정보 1억400만건이 유출되기도 했다. 한국 역대 최대 규모의 개인정보 유출 사건으로 불린다. 범인은 정부의 아이핀(I-PIN)서비스를 관리하는 코리아크레딧뷰(KCB)의 직원으로 밝혀졌다. 그는 각 카드사의 분실·위치변조 탐지 시스템 개발 프로젝트의 책임자로 카드사에 파견돼 일하면서 시스템을 테스트하기 위해 받은 개인정보를 USB에 담아 빼냈다.
그는 정보 일부를 돈을 받고 광고 대행업체 등에 팔아넘겼다. 이 사건으로 농협과 국민카드는 각각 1500만원, 롯데카드는 1000만원의 벌금을 선고받았다. 이어 올해에는 카드 3사의 원고 일부승소 판결이 나오고 있다.
지난 1월 서울지법은 NH농협과 KB국민카드에 제기된 손해배상 청구에 “법령상 보안조치의무를 소홀히 하여 고객 개인정보가 유출된 원인을 제공했다”며 소송에 참여한 피해자들에게 10만원의 위자료 배상을 요구했다.
법원 누구 손 들까
앞선 사례들이 있어 인터파크 소송에 대한 의견은 두 갈래로 나뉘고 있다. 그러나 피해자들은 승소에 힘을 두고 있다. 비슷한 전례인 옥션은 당시 보안기술이 해킹에 대처하기 힘들었던 점에 무과실 처리가 되었지만 각종 보안기술이 발달한 지금, 책임은 기업에 있다는 것이다. 전례를 보아 승소 시 최소 10만원의 위자료를 받을 수 있을 것으로 보인다. 인터파크는 아직 피해보상에 대한 언급을 하지 않고 있다.
