6일 방송통신위원회가 발표한 인터파크의 개인정보 유출 사고 조사 결과를 들여다보면 국내 주요 기업체의 보안 관련 조치의 부족한 점을 알 수 있다.
인터파크를 공격한 방식은 지능형 지속위협(APT)으로, 지속적으로 내부 침투를 시도하는 자동화 공격으로 확인됐다. 한 직원의 가족을 사칭한 이른바 '사회공학적' 공격기법에 결국 첨부파일을 실행하면서 그 안에 포함된 악성코드가 내부 망에 침투했고, 이어 개인정보 데이터베이스(DB) 관리 서버에 접근해 개인정보가 유출됐다.
방통위 조사 결과에 따르면 정보통신망법 제28조제1항에 따른 기술적ㆍ관리적 보호조치 중 접근통제를 소홀히 해 개인정보처리시스템에 대한 개인정보처리자의 접속이 필요한 시간 동안만 유지되도록 '최대 접속시간 제한 조치' 등을 취하지 않았다. 개인정보처리자가 업무가 끝난 뒤에도 로그아웃을 하지 아니하고 퇴근하여 개인정보처리자의 컴퓨터(PC)가 해킹에 이용된 것. 또 작업일지에 기록도 하지 않고 올 5월 1일부터 8월 11일까지 DB서버에 12시간 이상 접속한 횟수가 19회(최대 89시간)에 이름에도 이를 차단하지 않았다.
이 밖에 △망분리 과정에서는 논리적 망분리가 아닌 가상화 방식만 적용해 운영했으며 △개인정보처리시스템으로부터 백업받은 이용자의 개인정보 미암호화 및 이를 별도 분리 보관하지 않았고 △개인정보처리자 PC에 원격데스크톱 방식의 공유설정을 허용했다. 이와 함께 공용계정의 아이디와 비밀번호를 동일하게 설정하고, 공휴일, 연휴기간 이후 접속기록의 재분석 등 보안관제도 소홀했다.
최초 감염 PC에 내부 서버나 다른 PC에 접근할 수 있는 비밀번호를 암호화하지 않은 평문 텍스트 파일로 저장한 점과, 네트워크 기반 스토리지(NAS) 서버에 사내 전산장비(DB서버, 웹서버 등)의 IP, 비밀번호 등이 기록된 엑셀파일 형태의 패스워드 관리대장과 이 파일의 비밀번호를 역시 평문 텍스트 파일로 저장한 점도 법규를 위반한 미흡한 조치로 지적됐다.
또 개인정보 유출 사실을 인지한 뒤 방통위 신고나 사용자 대상 공지를 정당한 사유 없이 지연한 행위에 대해서도 지적했다.
최성준 방통위원장은 "반복되는 유출사고에도 불구하고 아직도 기업에서는 핵심 자산인 개인정보 보호에 투자하기보다는 이윤추구를 우선시하는 경향이 있어 안타깝다고 하면서, 이번 행정처분을 통해 다량의 개인정보를 처리하는 사업자들에게 경종을 울리는 계기가 되길 기대한다"고 말했다.
한편 인터파크는 반성의 계기로 삼아 보안 조치를 강화하겠다면서도 "기존 최대 1억원에서 매출액의 3%까지 부과할 수 있도록 관련법이 최근 개정되었다는 이유만으로 대기업과 금융권, 통신사 등 유사한 사례에 대비해서 60배에 달하는 과징금을 산정한 것은 형평성이나 비례의 원칙에 맞지 않는 것 같다"는 입장을 보였다.이재운기자 jwlee@dt.co.kr
인터파크를 공격한 방식은 지능형 지속위협(APT)으로, 지속적으로 내부 침투를 시도하는 자동화 공격으로 확인됐다. 한 직원의 가족을 사칭한 이른바 '사회공학적' 공격기법에 결국 첨부파일을 실행하면서 그 안에 포함된 악성코드가 내부 망에 침투했고, 이어 개인정보 데이터베이스(DB) 관리 서버에 접근해 개인정보가 유출됐다.
방통위 조사 결과에 따르면 정보통신망법 제28조제1항에 따른 기술적ㆍ관리적 보호조치 중 접근통제를 소홀히 해 개인정보처리시스템에 대한 개인정보처리자의 접속이 필요한 시간 동안만 유지되도록 '최대 접속시간 제한 조치' 등을 취하지 않았다. 개인정보처리자가 업무가 끝난 뒤에도 로그아웃을 하지 아니하고 퇴근하여 개인정보처리자의 컴퓨터(PC)가 해킹에 이용된 것. 또 작업일지에 기록도 하지 않고 올 5월 1일부터 8월 11일까지 DB서버에 12시간 이상 접속한 횟수가 19회(최대 89시간)에 이름에도 이를 차단하지 않았다.
이 밖에 △망분리 과정에서는 논리적 망분리가 아닌 가상화 방식만 적용해 운영했으며 △개인정보처리시스템으로부터 백업받은 이용자의 개인정보 미암호화 및 이를 별도 분리 보관하지 않았고 △개인정보처리자 PC에 원격데스크톱 방식의 공유설정을 허용했다. 이와 함께 공용계정의 아이디와 비밀번호를 동일하게 설정하고, 공휴일, 연휴기간 이후 접속기록의 재분석 등 보안관제도 소홀했다.
최초 감염 PC에 내부 서버나 다른 PC에 접근할 수 있는 비밀번호를 암호화하지 않은 평문 텍스트 파일로 저장한 점과, 네트워크 기반 스토리지(NAS) 서버에 사내 전산장비(DB서버, 웹서버 등)의 IP, 비밀번호 등이 기록된 엑셀파일 형태의 패스워드 관리대장과 이 파일의 비밀번호를 역시 평문 텍스트 파일로 저장한 점도 법규를 위반한 미흡한 조치로 지적됐다.
또 개인정보 유출 사실을 인지한 뒤 방통위 신고나 사용자 대상 공지를 정당한 사유 없이 지연한 행위에 대해서도 지적했다.
최성준 방통위원장은 "반복되는 유출사고에도 불구하고 아직도 기업에서는 핵심 자산인 개인정보 보호에 투자하기보다는 이윤추구를 우선시하는 경향이 있어 안타깝다고 하면서, 이번 행정처분을 통해 다량의 개인정보를 처리하는 사업자들에게 경종을 울리는 계기가 되길 기대한다"고 말했다.
한편 인터파크는 반성의 계기로 삼아 보안 조치를 강화하겠다면서도 "기존 최대 1억원에서 매출액의 3%까지 부과할 수 있도록 관련법이 최근 개정되었다는 이유만으로 대기업과 금융권, 통신사 등 유사한 사례에 대비해서 60배에 달하는 과징금을 산정한 것은 형평성이나 비례의 원칙에 맞지 않는 것 같다"는 입장을 보였다.이재운기자 jwlee@dt.co.kr
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
![[기획] 겉은 ESG, 속은 재해… 시늉뿐인 안전](https://wimg.dt.co.kr/news/cms/2025/11/17/news-p.v1.20251117.90058341a8ee40848f96a147cfc84bfa_R.png)
![[기획] 불법 임대·명의 신탁 버젓이… 주택시장 흐리는 ‘외래종’](https://wimg.dt.co.kr/news/cms/2025/11/17/news-p.v1.20251117.c0114cc052bc47c799bac190db0536a5_R.jpg)
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0