28일 보안 전문가들은 인터파크 해킹 사고가 최근 기업을 겨냥한 공격이 증가하고 있는 상황에서 총체적 보안 시스템 부실이 맞물려 생겨난 문제라고 분석했다.
한 보안업계 전문가는 "전체 회원의 40%에 해당하는 1030만명의 개인 정보라면 상당한 크기의 데이터인데 이를 감지하지 못한 것은 보안 시스템 자체가 제대로 작동하지 않은 셈"이라며 "네트워크 상황을 모니터링하는 업무에 소홀했다는 지적을 피하기 어렵다"고 말했다.
윤광택 시만텍코리아 최고기술경영자는 "개인보단 기업을 공격한 뒤 금전을 요구하는 형태가 늘고 있다"며 "이번 인터파크 공격도 같은 맥락"이라고 설명했다.
'망분리 시스템'도 원인으로 지적됐다. 인터파크는 내·외부망을 분리했지만 대부분 직원이 PC로 내·외부망을 자유롭게 오가며 회원 개인정보에 접근할 수 있었다. 망 분리란 일반 인터넷에 접속하는 외부망과 사내 시스템에 접속하는 내부망을 나누는 것을 말한다.
개인 정보 암호화 문제도 거론됐다. 2500만명의 회원 정보 중 정보통신망법에서 정한 최소한의 정보만을 암호화했다. 현행 정보통신망법은 비밀번호와 주민번호, 금융정보만을 암호화해 저장하도록 하고 있다.
한 보안업계 관계자는 "유출된 주소, 이름, 메일주소 등만 있어도 충분히 다른 용도로 활용할 수 있다"며 "전면적인 암호화가 필요하다"고 말했다.
전문가들은 APT 같은 지속적이고 전방위적으로 이뤄지는 공격을 예방하려면 대응 인력 확보가 중요하다고 지적한다.
이승진 그레이해쉬 대표는 "전방위적 APT 공격은 보안 솔루션 만으로는 한계가 있다"며 "구글이나 마이크로소프트(MS)처럼 보안 전문 인력이 다수 상주하며 새로운 공격을 탐지하고 점검해야 한다"고 말했다.
기업들이 IT인력에 투자할 수 있도록 정부 차원에서 제도를 통한 채찍과 당근이 필요하다는 지적이다.
임종인 고려대 정보보호대학원 교수는 "정보통신망법과 개인정보보호법의 강제 조항이 늘어나고, 보안 쪽 투자에 대한 인센티브가 보다 확실해질 필요가 있다"고 지적했다.
김용대 KAIST 교수는 "보안 사고에도 현재 기준보다 강한 징벌적 배상이 필요하다"며 "개인정보 유출 1건당 1000~1만원 수준으로만 책정해도 보안에 투자하지 않을 수 없을 것"이라고 말했다.
이민우 기자 letzwin@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>