인터넷 쇼핑몰 인터파크가 개인정보 해킹을 당했을 무렵 보안 관리 실태가 어땠는지 알 수 있는 정부 보고서를
SBS가 입수했습니다. 주민번호, 계좌번호조차 암호화하지 않고 저장하는 등 허점투성이였습니다.
임찬종 기자가 보도합니다.
<기자>
인터파크가 해킹을 당한 직후인 지난 6월 초, 한국인터넷진흥원이 보안 관리 실태를 점검하고 작성한 보고서입니다.
고객 휴대전화번호 등을 서버로 보내는 과정에서 암호화하지 않았고, 고객 계좌번호 34만 개도 암호화 없이 데이터베이스에 저장했다고 지적했습니다.
직원 컴퓨터에선 암호화하지 않은 고객 주민등록번호와 여권 번호까지 나왔습니다.
개인정보취급자의 컴퓨터로는 이메일이나 인터넷 접속을 제한하는 이른바 '망 분리'도 제대로 돼 있지 않았습니다.
개인정보 관리에 대한 정부 고시를 지키지 않은 겁니다.
[김승주 교수/고려대 정보보호대학원 : 담당자의 PC가 인터넷에서 분리돼 있었으면 악성 코드가 들어 있는 (해커가 보낸) 이메일을 받아볼 가능성 자체가 없었겠죠. 그러면 개인정보도 유출이 안 됐을 거고요.]
이에 대해 인터파크는 2015년 개인정보관리체계 첫 인증을 받은 뒤 인증 유지를 위해 점검받는 과정에서 지적받은 내용이고, 이번 해킹과는 무관하다고 밝혔습니다.
하지만, 1년에 한 번 보안 실태를 점검하는 것으론 부족하다는 지적도 나옵니다.
[박대출/새누리당 의원 : 인터파크 해킹 사건은 정부와 기업의 형식적인 정보보호 관리 수준을 여실히 보여주는 것입니다. 정보 보호 인증 후에도 상시적으로 해당 기관의 보안 체계를 관리 감독하도록 관련 제도를 개선해야 할 것입니다.]
인터파크는 인터넷진흥원이 지적한 결함에 대해 보완을 거의 마무리했다고 밝혔습니다.
(영상취재 : 김현상·김승태, 영상편집 : 하성원)
[임찬종 기자 cjyim@sbs.co.kr]
※ ⓒ SBS & SBS콘텐츠허브 : 무단복제 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
