1030만명 고객정보 유출시킨 '인터파크'…어떤 처벌받나

정보통신망법 위반 과징금 부과…약관변경 '꼼수'도 처벌 검토

© News1 방은영 디자이너

(서울=뉴스1) 주성호 기자 = 해커들의 공격으로 회원 2000만명 중 1030만명의 개인정보가 유출된 온라인 쇼핑몰 '인터파크'에 대한 정부 조사가 진행되면서 처벌수위에 관심이 쏠리고 있다.

27일 인터파크 개인정보 유출사고를 조사중인 민관합동조사단에 따르면 조사결과에 따라 인터파크의 정보보호 조치가 미흡하다고 판단되는 경우 과징금 부과 등의 제재가 내려질 전망이다.

정보통신망법 제64조에 따르면 방송통신위원회는 정보통신서비스 제공자가 적절한 정보보호 조치를 취하지 않은 채 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우, 위반행위와 관련된 매출액의 3% 이하 수준에서 과징금을 부과할 수 있다.

매출액 산정이 어려울 경우 4억원 이하에서 정액으로 과징금을 매길 수도 있다. 앞서 지난해 9월 해킹으로 회원 190만명의 개인정보가 유출된 온라인 커뮤니티 '뽐뿌'도 개인정보 보호조치가 미흡하다는 이유로 방통위로부터 과징금 1억200만원 제재를 받았다.

방통위 관계자는 "조사 결과 침입차단시스템이나 백신 소프트웨어 설치, 암호화기술 등의 안전성 확보를 위한 조치가 이뤄지지 않은 것으로 드러나면 과징금을 부과할 것"이라고 말했다.

특히 인터파크는 사내 전산망과 외부 시스템을 분리해야 하는 이른바 '망분리'에 소홀한 것으로 알려져 과징금을 피하기 어려울 것이라는 게 보안 전문가들의 분석이다.

방통위의 '개인정보의 기술적·관리적 보호조치 기준' 고시에 따르면 개인정보처리시스템에서 개인정보 접근권한을 가진 정보취급자의 컴퓨터는 물리적 또는 논리적으로 망분리해야 한다. 하지만 이번에 인터파크 내부 직원의 PC가 악성코드에 감염된 이후 해커들이 분리돼있지 않은 내부 데이터베이스(DB)에 침입하면서 개인정보가 유출됐다는 설명이다.

보안업계 한 관계자는 "개인정보 취급자의 경우 망분리를 필수적으로 해야 하는데 인터파크는 이를 지키지 않은 것 같다"며 "정부가 법으로 정한 정보보호 조치를 갖추지 않았으니 이에 대한 제재가 가해질 것"이라고 말했다. 조사결과에 따라 인터파크 측의 고의나 중대과실이 입증되면 책임자에 대한 형사 고발까지 이뤄질 수도 있다.

이에대해 인터파크측은 "망분리를 하지 않은 것은 아니다"며 "2015년 개인정조관리체계(PIMS) 인증도 획득하는 등 보안 노력을 등한시하지는 않았다"고 해명했다.

개인정보 유출사고 인지 후 인터파크가 방통위에 즉각 해당 사실을 알리지 않은 것도 문제다. 이에 따른 과태료도 부과될 것으로 보인다.정보통신망법 제27조에 따르면 정보통신서비스 제공자는 개인정보 분실·도난·유출 사실을 안 때에는 24시간 이내에 한국인터넷진흥원(KISA)이나 방통위에 신고해야 한다.

만약 정당한 사유 없이 24시간을 어겨 통지했을 경우에는 최대 3000만원의 과태료가 부과된다. 그러나 인터파크는 유출된 개인정보를 빌미로 해커들이 30억 비트코인을 요구하자 경찰에 우선 신고했다.

방통위 관계자는 "인터파크가 고객 혼란을 막으려고 한 건지 아니면 범인을 우선 색출하기 위해서 그런건지 몰라도 방통위와 한국인터넷진흥원에 24시간 이내에 신고하지 않았다"고 말했다.

일각에서는 인터파크가 고객정보 유출사고를 미리 알고 있었는데도 정보 유출 위험성이 높은 소셜네트워크(SNS) 로그인 연동제를 추가 시행하려고 약관변경을 시도한 '꼼수'에 대한 논란도 제기되고 있다. 방통위는 조사가 마무리된 이후 법률자문을 거쳐 인터파크의 이같은 약관변경 시도가 책임 회피로 판단될 경우 이에 대한 과태료도 부과할 계획이다.

민관합동조사단 관계자는 "이번 인터파크 개인정보 유출사고는 경찰조사도 함께 진행중인 사안이라 최소 1개월 이상은 걸릴 것으로 예상된다"며 "추후 과징금 부과 같은 제재조치까지 내려질 때까지도 3개월 이상은 소요될 것"이라고 말했다.
sho218@

[© 뉴스1코리아(news1.kr), 무단 전재 및 재배포 금지]