국내 대표 오픈마켓인 옥션의 개인정보 유출 파동이 일파만파로 커지고 있다. 이런 가운데 관련 당사자들이 서로 책임을 떠넘기고 있어 옥션 해킹 파동이 '핑퐁 게임' 양상을 보이고 있다.
특히 옥션과 이 회사의 보안관제서비스를 담당한 인포섹이 책임 문제를 놓고 설전을 벌이고 있다. 이번 해킹이 보안관제 영역에 해당되는 지 여부를 놓고 팽팽히 맞서고 있는 것.
또 수사기관인 경찰청 사이버테러대응센터는 사건 발생 한 달이 지난 현재까지도 범인 검거를 위한 단초를 잡지 못하고 있다.
◆보안관제서비스 해당 여부 놓고 공방
옥션은 이번 해킹으로 회원 주민번호·ID·성명 등 상당수 개인 정보가 유출된 것으로 밝혀졌다. 하지만 옥션 측은 해킹 사실을 공지한 한 달이 지난 현재까지도 "수사진행중이라 피해 규모는 밝힐 수 없다"는 원론적인 답변만 되풀이하고 있다.
옥션측은 "현재 경찰청 사이버테러대응센터가 수사를 진행중이라 구체적인 피해 규모를 밝힐 수 없다"며 "보안관제서비스는 인포섹이 담당하는 부분"이라고 말했다.
옥션 홍보팀 서민석 부장은 "인포섹과의 계약관계는 양사간의 비공개 계약 조항에 의해 외부로 밝힐 수 없는 사항"이라며 "금융정보와 개인정보는 다른 서버에 분리했기 때문에 카드번호 등의 유출은 없을 것"이라고 말했다.
실제로 옥션은 지난 해 5월 보안업체 인포섹과 보안관제서비스에 대한 아웃소싱 계약을 체결했다.
인포섹이 관제를 담당한 부분은 침입방지시스템(IDS)과 방화벽 등 네트워크단의 보안 영역이다. 옥션은 IDS·방화벽에 해당하는 부분에만 관제서비스를 할 것을 인포섹 측에 요청했다.
한 보안 전문가는 "IDS·방화벽 두 부분에 대한 관제서비스는 최소한의 관제영역"이라며 "회원수 1천800만명에 이르는 대규모 웹사이트 치고는 보안에 대한 준비가 미흡했다고 볼 수밖에 없다"고 말했다.
◆인포섹, IDS·방화벽 침입 탐지 관제 못해
반면 인포섹 측은 이번 해킹 사건이 관제서비스 계약 범위를 넘어선다고 맞서고 있다. 인포섹 김동설 이사는 "IDS와 방화벽이 막아주는 영역에는 한계가 있다"며 "이번 해킹의 경우 IDS·방화벽단이 아닌 우회 침투했기 때문에 관제 서비스 계약 범위를 넘어선다"고 답변했다.
인포섹은 옥션 관제를 위해 4명의 요원을 뒀지만, 사건 당시 이들은 옥션 외에도 다른 고객사를 동시에 맡고 있었다.
IDS는 침입의 패턴을 분석해 네트워크나 시스템의 사용을 실시간으로 모니터링하고, 해킹 등의 외부 침입을 탐지하는 보안 시스템이다. 방화벽 역시 외부에서 유입되는 불법 트래픽을 막고, 접근이 허가된 트래픽만 허용하는 보안 제품이다. 현재 외산 제품이 들어가 있다.
인포섹의 이 같은 주장에 대해 전문가들은 '책임 회피'라고 지적하고 있다. IDS나 방화벽 보안관제에 충실했다면 이번 해킹을 충분히 막을 수 있었다는 것이다. 설사 해커가 웹서버를 경유한 우회 공격을 시도해 IDS와 방화벽이 침입을 탐지하지 못했더라도 보안 관리를 철저히 했더라면 사전에 침입을 방어할 수 있다는 것이 전문가들의 주장이다.
한국정보보호진흥원 상황관제팀 노명선 팀장은 "고객 데이터베이스(DB)에 침투하려면, 네트워크 단에 설치된 IDS와 방화벽을 뚫어야 한다"며 "IDS·방화벽이 해킹 침입을 감지했더라면 해커가 고객 DB에 접근하기 이전에 차단이 됐어야 한다"고 설명했다.
노 팀장은 이어 "웹서버의 취약점을 노리고 정상적인 접근을 가장한 경우에는 탐지가 어려울 수 있으므로 우선적으로 홈페이지 보안 관리를 철저히 하고, 웹보안의 취약점을 방어할 수 있는 웹 방화벽 같은 보안시스템을 갖추는 것이 중요하다"고 말했다.
한 보안 전문가는 "옥션의 경우 누구나 쉽게 웹사이트에 접근을 할 수 있는 구조로 정책을 설정한 것으로 알고 있다"며 "관리자 권한을 세분화해 철저하게 관리하지 못한 옥션의 책임도 크다"고 말했다.
◆사이버테러대응센터, 늑장 수사 지탄
수사기관도 늑장 수사로 지탄을 받고 있다. 경찰청 사이버테러대응센터는 "고객 DB가 담긴 서버가 해킹을 당했다"며 "하지만 고객 DB를 뚫은 해커가 1천700만명이 넘는 회원정보를 직접적으로 유출했는 지 여부는 범인 검거가 되지 않은 현 시점에서는 확인하기 어렵다"고 말했다.
현재 사이버테러대응센터는 중국 수사 당국에 범인 검거를 위한 수사 공조를 요청한 상태다.
경찰청 사이버테러대응센터 이병귀 수사실장은 "중국과 관련된 문제라 국내 수사기관 단독으로는 사건 해결이 어렵다"며 "국정원 등 유관기관에 협력을 요청했다"고 말했다.
이 수사실장은 "개인들이 피해 상황에 대한 정보공개 요청을 하더라도 수사진행중인 사안에 대해서는 정보공개를 거부할 수 있는 사유가 된다"며 "수사 결과가 나오기까지는 시일이 더 필요하다"고 말했다.
옥션 회원인 한 네티즌은 "세 기관이 책임을 떠넘기는 핑퐁 게임을 하는 동안 내 개인정보가 악용될 것 같아 두렵다"며 "옥션 사이트 하단에 있는 '개인정보보호우수사이트'라는 이름이 무색하기만 하다"고 말했다.
옥션은 지난 2002년 한국정보통신산업협회로부터 개인정보보호우수사이트 인증을 획득한 이래 매년 재인증을 받아왔다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기