지난 2월 홈페이지가 해킹되면서 고객정보가 대량으로 유출되는 사건을 겪은 옥션은 이후 해킹 사실을 당당히 밝혔다. 대부분의 기업들이 해킹을 당하고도 '쉬쉬'하는 것이 다반사인 상황에서 옥션의 결정은 '돌출'에 가까울 정도였다.
그럼에도 불구하고 옥션은 두번째 선택의 기로에서도 가시밭길을 택했다. 혹자는 '미친짓이다'는 소리까지 서슴치 않는다. 해킹으로 개인정보가 유출된 회원의 수가 무려 1000만명이 넘는다고 스스로 발표해버린 것이다.
그러나 옥션은 말한다. "어려움이 예상되는 것은 사실이지만 속죄할 것은 속죄하고책임질 것은 책임지자"고 말이다.
◇옥션, 개인정보 유출회원 왜 공개?
이 시각 인기 뉴스
17일 옥션은 해킹사고로 정보 유출 피해를 당한 1081만명에게 이메일과 홈페이지 공지를 통해 일일이 피해사실을 공지했다. 옥션을 상대로 집단소송까지 제기된 미묘한 시점에서 이 사실을 공지한다는 것은 쉽지않은 결정이었다.
공개를 둘러싸고 내부 의견도 찬반이 교차했던 것으로 알려졌다. '수사상황을 좀더 지켜보자'는 의견도 나왔다. 시기적으로 좋지 않다는 게 이유다. 집단소송이 이미 제기된 상황에서 자칫 상당한 악재가 될 수 있기 때문이다.
그러나 박주만 옥션 사장의 의지는 너무나 확고했다. 박 사장은 "여러가지 어려움은 예상되지만, 피해 이용자들에게 하루라도 빨리 알려줘 더 이상의 추가 피해를 예방하는 것이 옥션 이용자들에 대한 최소한의 도리"라고 말한 것으로 전해졌다.
실제 비밀번호와 신용카드 정보 등 민감한 정보는 유출되지 않았다손 치더라도 유출된 정보만으로 명의도용 등에 악용될 가능성도 적지않은 상황이다.
특히 이 정보를 악용한 보이스 피싱도 우려되고 있다. 이번에 빠져나간 정보에는 이름과 주민번호, 주소, 이메일 등 개인정보들이 다수 포함돼 있는 상황에서 보이스 피싱조직에 이 데이터가 넘어갈 경우, 자칫 피해규모가 커질 수도 있다.
옥션 관계자는 "고객의 정보를 보호하지 못한 점은 전적으로 우리 책임이며 깊이 반성하고 있다"며 "하지만 피해 사실을 숨기기 보다는 이용자들의 2차 피해를 최소화하고 대신 책임질 것은 책임지는 모습을 보임으로써 향후 업계에 바른 선례로 남겠다는 것이 경영진의 확고한 생각"이라고 밝혔다.
보상문제도 현재 내부에서 논의 중이나, 소송건과 맞물려 어떤 방식으로 보상할 지 쉽게 결론을 내리지 못하고 있는 상황이다.
◇유출된 개인정보, 어떻게 찾아냈나
경찰이 옥션의 정보유출 피해자 명단이 확보되면서 지난 2월 발생한 옥션 해킹사고 수사가 가속도를 내고 있다.
이번에 정보유출 데이터를 찾아낸 것은 국내에 소재한 제3의 시스템에서다. 경찰은 이곳에서 범죄에 사용한 듯한 데이터 삭제 흔적을 찾아내고, 이를 일일이 복원한 결과 대량의 개인정보가 쏟아져 나왔던 것이다.
이 정보는 옥션 관계자의 확인을 거쳐 이번에 유출된 회원정보로 판명됐다. 그러나 문제가 됐던 제3의 시스템은 누군가에 의해 해킹의 경유지로 악용됐을 가능성이 높다는 게 경찰의 설명이다.
경찰은 이곳에 접속한 중국 IP를 확인하고, 중국 현지 공안당국과 공조수사를 진행 중이다.
한편, 옥션측은 이날 해커가 침투한 서버에 'fuckkr'이라는 아이디와 암호의 해킹 프로그램을 사용했다고 밝혔다. 그러나 해커가 이 프로그램을 어떤 경로로 서버에 설치했는지, 또 이 프로그램이 직접적인 정보유출과 관련있는지 여부에 대해서는 확인되지 않고 있다.
경찰청 사이버테러대응센터 관계자는 "일각에서 옥션 직원들을 상대로 해킹 프로그램을 유포하고, 이를 통해 관리자 ID와 비밀번호를 입수한 것으로 전해지는데 이는 여러가지 가능성 중에 극히 일부에 지나지 않는다"며 "정확한 사고원인은 용의자가 검거된 이후에나 파악할 수 있을 것"이라고 말했다.
