방통위, 2665만건 해킹사고 인터파크에 과징금 45억원(일문일답)

회원정보 2665만건 해킹 인터파크
방통위, 44억8000만원 과징금·2500만원 과태료
인터파크 "최대 접속시간 제한 시스템 있다"
방통위 "근거 확인 못해"

방통위 전체회의

[아시아경제 안하늘 기자] 방송통신위원회는 6일 전체회의를 열고 지난 5월 회원정보 2665만건을 유출한 인터파크에 과징금 44억8000만원과 과태료 2500만원을 부과했다.

당초 방통위는 지난 14일 전체회의를 열고 시정조치에 대해 논의했으나 ▲PC 폐기 및 포맷 정황 ▲최대 접속시간 제한 현황 등과 관련해 인터파크 측 반박이 계속되자 소명자료를 검토하기 위해 제재를 6일로 연기했다.

다만 이날도 최대 접속시간 제한 여부에 대해서는 이견이 있었다. 최대 접속시간 제한 여부에 따라 인터파크는 해킹 사고를 방지하기 위한 조치를 취했는지가 결정되기 때문이다. 방통위에서는 인터파크 내부 PC와 DB서버가 접속시간 제한 없이 연결되면서, 이 루트를 통해 해킹이 발생한 것 아니냐고 의심하고 있다.

인터파크 측을 대변하는 법무법인 태평양의 김광준 변호사는 "인터파크는 PC가 작동이 없는 채로 2시간이 지나면 ID와 패스워드를 입력해야 접속이 가능한 시스템을 운영 중이다"며 "PC에서 잠금설정이 되면 DB서버와 차단되도록 설정했다는 뜻이다"고 말했다.

하지만 이에 대해 방통위 사무처에서는 최대 접속시간 제한 조치를 확인할 수 있는 근거를 확인할 수 없었다고 반박했다. 실제로 지난 6월 개인정보에 접근 가능한 PC에서 3일 이상 DB서버와 접속한 사례도 있었다고 주장했다.

다만, 해킹 이후 PC를 초기화 한 것에 대해 의도적ㆍ고의적으로 증거를 인멸하지 않았다는 점은 인정되면서 과징금이 5% 감경됐다. 인터파크 측은 경찰 조사 이후 추가 해킹 사고를 방지하기 위해 경찰의 권고에 따른 조치라고 설명했다.

한편 인터파크는 지난 5월 해커에게 이름, 주소, 전화번호 등이 담긴 고객정보를 1000만건 이상 유출 당했다. 금전을 요구하는 협박을 받아 경찰에 신고했으며, 경찰은 북한의 소행으로 잠정 결론을 내렸다.

이후 방통위가 미래부 및 민간전문가 등과 조사단을 구성해 침해사고 원인 분석을 실시한 결과, 해커는 인터파크 회원정보 2665만8753건이 보관된 파일을 16개로 분할하고 직원 PC를 통해 외부로 정보를 유출한 것으로 조사됐다.

다음은 김기석 개인정보보호조사팀장과의 일문일답이다.

-방통위가 인터파크에 대해 별도 고발조치할 계획인가?

▲고발은 별도로 검토하지 않고 있다. 현재 시민단체서 8월1일부로 검찰에 고발한 상태다.

-인터파크는 인과관계가 없기 때문에 과징금이 부당하다는 주장인데?

▲현행법에서는 굳이 인과관계를 증명하지 않아도 과징금 부과가 가능하다. 즉, 정보가 유출됐다면 과징금을 부과할 수 있다.

-어떤 인과관계를 말하는 것인가?

▲법이나 시행령, 고시에서 기술적인 보호조치가 명시 돼 있다. 법 개정 이전에는 해킹사고가 어느 조항이 미비해서 일어났는지, 기술적 관리 조치를 제대로 이행했는지를 우리가 입증했어야 했다.

-과징금이 매출의 3%인데, 어떤 기준인가?

▲지난 2014년 11월29일 이전에는 1억원 이하였다. 이후 개정안에서는 위반과 관련된 매출액에 3% 범위 내에서 매기도록 됐다. 인터파크 전체 매출액은 3755억원인데 이 중 755억정도가 오프라인에서 발생한다. 그 부분을 제외하고 법 적용이 가능한 온라인 매출로 기준을 삼았다. 매출액은 3년 평균이다.

-인터파크가 방통위 결정에 대해 법적 절차 밟겠다는데?

▲기존에도 과징금을 부과한 사업자들 대부분 소송에 갔다. 소송이 들어온다면 그에 따른 대응할 것.

안하늘 기자 ahn708@asiae.co.kr