미래창조과학부와 방송통신위원회가 31일 인터파크 침해사고 관련 민관합동조사단의 조사 결과를 이같이 발표했다. 조사단은 경찰로부터 넘겨받은 관련 자료를 분석하고 현장조사한 결과 구체적 해킹 경로와 유출 회원정보 내역을 파악했다. 경찰은 지난달 이번 해킹 사건인 북한 정찰총국 소행으로 판단된다고 발표한 바 있다.
◇총 개인정보 유출건 수 2666만건 "중복 확인 중"
이번 사고로 유출된 회원정보 건수는 총 2665만8753건으로 집계됐다. 해커는 해당 정보가 보관된 파일을 16개로 분할해 직원 PC를 경유해 외부로 유출한 것으로 조사됐다. 알려진 일반회원 정보 1030만건 외에 휴면회원 1152만2045건, 탈퇴회원 173만4816건이 유출됐다.
인터파크 일반회원의 경우 아이디, 암호화된 비밀번호, 이름, 전화번호, e메일 등 정보가 유출됐다. 휴면회원은 아이디와 암호화된 비밀번호, 탈퇴회원과 제휴사 일반회원은 아이디가 해커의 손에 넘어갔다. 다만 휴면회원 유출 사항은 일반회원 등과 중복될 가능성이 있어 방통위가 해당 내역을 추가 조사 중이다.
이번 해킹 사건은 인터파크 A직원이 악성코드가 담긴 e메일을 열람하면서 시작됐다. 해커는 A직원 PC를 통해 내부 개인정보취급자 PC, DB(데이터베이스)서버 등에 접근한 것으로 조사됐다. 여러차례 접속 끝에 DB서버에 담긴 회원 개인정보를 밖으로 빼돌렸다.
미래부는 인터파크 대상으로 조사과정에서 발견된 문제점을 개선·보완할 수 있도록 조사결과와 개선사항 공유 등 보안강화 기술지원을 실시했다. 방통위는 피해사실과 이용자 조치방법 등을 이용자에게 통지토록 했고, 이르면 오는 10월 개인정보 보호조치 위반 관련 사항에 대해 '정보통신망이용촉진 및 정보보호 등에 관한 법률'에 따라 조치할 예정이다.
◇'개인정보 유출 대응 매뉴얼' 발표…'신속'이 핵심
이날 방통위와 한국인터넷진흥원(KISA)이 '개인정보 유출 대응 매뉴얼'도 발표했다. 인터파크가 이번 유출 사고 발생 직후 관계기관에 바로 신고하지 않는 등 이제까지 사업자의 초기 대응이 미흡했던 점을 고려해 정확한 조치를 권고, 이용자 피해를 최소화하기 위해 마련됐다. 사업자는 매뉴얼을 참고해 자사의 상황에 맞도록 매뉴얼을 만들어 시행해야 한다.
해당 매뉴얼에는 △개인정보 유출 신속대응팀 구성‧운영 △유출원인 파악 및 추가유출 방지조치 △개인정보 유출 신고 및 통지 △이용자 피해구제 및 재발방지 대책 마련 등이 포함된다.
특히 인터파크와 같이 해킹에 의한 정보 유출 사고 발생시 추가피해를 막기 위해 시스템 일시정지, 비밀번호 변경 등 긴급조치를 시행토록 하는 내용을 담았다. 이용자 피해 최소화를 위한 조항도 포함됐다. 이용자에게 피해사실 통지시 전화통화, 문자메시지(SMS), e메일 등 확인이 용이한 방식을 우선 활용하고, 이용자가 분쟁조정 절차, 법정‧징벌적 손해배상제도를 활용할 수 있도록 해당 내용도 안내토록 했다.
최성준 방통위 위원장은 "개인정보 유출사고가 발생하면 신속하게 이용자에게 알리고 관계기관에 신고, 추가 피해를 막는 것이 중요하다"며 "이번 매뉴얼을 참고해 앞으로 유사사고 발생시 사업자들이 빠르게 대응할 수 있도록 개선하겠다"고 밝혔다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]