[폴리뉴스 박효길 기자] 최근 인터넷 오픈마켓 인터파크에서 고객 정보 1030만 건을 유출되는 사고가 일어났다. 이러한 보안 사고는 매년 일어나고 있는데 되풀이 되는 이유가 사고가 터져도 겨우 1000만 원에 불과한 솜방망이 처벌 때문이 아니냐는 지적이 제기된다.

인터파크는 지난달 25일 자사의 데이터베이스(DB) 서버가 해킹당했다고 밝혔다. 인터파크에 따르면 이번 해킹은 지능형 지속가능 위협(APT) 공격인 것으로 추정된다. APT 공격은 특정 목표를 정해놓고 장시간에 다양한 방법을 동원하는 형태다.

인터파크의 경우는 해커가 인터파크 직원에게 악성 코드를 심은 이메일을 보내 해당 PC를 장악한 뒤 오랜 시간 잠복 상태로 있다가 DB에 침투한 것으로 추정되고 있다. 해커들은 추적을 피하려고 여러 나라를 거쳐 인터파크 전산망에 침투한 것으로 알려졌다.

인터파크는 고객정보가 유출된 것도 모르다가 두 달이 지나서 해커의 협박으로 상황을 파악한 것으로 나타났다.

이러한 보안사고는 2010년 들어서 거의 매년 일어나고 있다. 2011년 네이트, 현대캐피탈, 농협의 고객정보 유출, 2012년 중앙일보 서버 해킹, 2013년 주요 방송사, 금융기관 해킹, 2014년 카드 3사 개인정보 유출, 2015년 아시아나항공 개인정보 유출 등이다.

이렇게 1년이 멀다하고 사고가 일어나는 것은 사고에 비해 미약한 처벌 때문이라는 지적이 제기된다. 2014년 카드 3사 유출 당시 1억 건이 넘는 개인정보가 유출됐지만 이에 대한 처벌은 벌금 1000만 원에 불과했다. 개인정보보호법에 따르면 벌금이 최대 1000만 원으로 상한이 정해져있기 때문이다.

이는 외국과 비교하면 터무니없다는 것을 알 수 있다. 미국의 2위 유통업체인 타깃(Target)은 지난 2013년 해킹을 당해 고객 4000만 명의 신용카드 등 금융정보, 7000만 명의 이름, 주소 등의 개인정보를 유출시켰다. 2015년 타깃은 개인 정보 유출로 피해를 본 고객 1인에게 최대 1만 달러, 총 1000만 달러를 배상하겠다는 집단소송 합의안을 법원에 제출했다.

이는 시사하는 바가 크다. 이러한 거대한 배상액은 기업을 휘청하게 할 수 있지만 사고로 배상액을 물지 않기 위해서라도 정보보안에 더 신경쓰게 만들 수 있다. 정부는 이에 상응하는 수준으로 개인정보보호법 위반 벌금 상한을 올릴 필요가 있다.

최근 지문, 홍채인식까지 가능한 스마트폰이 등장하면서 개인정보 보안에 대한 중요성이 더욱 대두되고 있다. 보안 수단만 좋아질 게 아니라 보안 사고 대응 수준까지 높여야 되는 이유다.