방통위, 회원정보 2665만건 유출사고 인터파크에 과징금 45억원

방통위 전체회의

[아시아경제 안하늘 기자] 방송통신위원회는 6일 전체회의를 열고 지난 5월 회원정보 2665만건을 유출한 인터파크에 과징금 44억8000만원을 부과했다.

당초 방통위는 지난 14일 전체회의를 열고 시정조치에 대해 논의했으나 ▲PC 폐기 및 포맷 정황 ▲최대 접속시간 제한 현황 등과 관련해 인터파크 측 반박이 계속되자 소명자료를 검토하기 위해 제재를 6일로 연기했다.

다만 이날도 최대 접속시간 제한 여부에 대해서는 이견이 있었다. 최대 접속시간 제한 여부에 따라 인터파크는 해킹 사고를 방지하기 위한 조치를 취했는지가 결정되기 때문이다. 방통위에서는 인터파크 내부 PC와 DB서버가 접속시간 제한 없이 연결되면서, 이 루트를 통해 해킹이 발생한 것 아니냐고 의심하고 있다.

인터파크 측을 대변하는 법무법인 태평양의 김광준 변호사는 "인터파크는 PC가 작동이 없는 채로 2시간이 지나면 ID와 패스워드를 입력해야 접속이 가능한 시스템을 운영 중이다"며 "PC에서 잠금설정이 되면 DB서버와 차단되도록 설정했다는 뜻이다"고 말했다.

하지만 이에 대해 방통위 사무처에서는 최대 접속시간 제한 조치를 확인할 수 있는 근거를 확인할 수 없었다고 반박했다. 실제로 지난 6월 개인정보에 접근 가능한 PC에서 3일 이상 DB서버와 접속한 사례도 있었다고 주장했다.

최성준 위원장은 "우리가 확인한 바에 의하면 DB서버와 끊어지는 기능이 작동하는지에 대한 증거를 하나도 발견하지 못했다"면서 "상식적으로 두 시간이 지나도 DB서버와 끊어지지 않도록 설정 돼 있는 것이라고 생각할 수밖에 없다"고 말했다.

또 해킹 사실을 방통위에 신고하지 않은 점도 문제가 됐다. 전기통신사업법에서는 개인정보 분실·도난·유출 사실을 확인한 사업자는 24시간 이내에 방통위나 한국인터넷진흥원(KISA)에 신고하도록 돼 있다.

다만, 해킹 이후 PC를 초기화 한 것에 대해 의도적·고의적으로 증거를 인멸하지 않았다는 점은 인정되면서 과징금이 5% 감경됐다. 인터파크 측은 경찰 조사 이후 추가 해킹 사고를 방지하기 위해 경찰의 권고에 따른 조치라고 설명했다.

한편 인터파크는 지난 5월 해커에게 이름, 주소, 전화번호 등이 담긴 고객정보를 1000만건 이상 유출 당했다. 금전을 요구하는 협박을 받아 경찰에 신고했으며, 경찰은 북한의 소행으로 잠정 결론을 내렸다.

이후 방통위가 미래부 및 민간전문가 등과 조사단을 구성해 침해사고 원인 분석을 실시한 결과, 해커는 '스피어피싱'으로 직원 PC에 악성코드를 감염시킨 후 확산시켜 내부정보를 획득했다. 인터파크 회원정보 2665만8753건이 보관된 파일을 16개로 분할하고 직원 PC를 통해 외부로 정보를 유출한 것으로 조사됐다.