지난 5월 해킹으로 고객 정보가 대량 유출된 인터파크가 해킹 직후 공공기관이 진행한 보안 심사에서 개인정보 관리 미흡을 지적받은 것으로 드러났습니다.
새누리당 박대출 의원은 지난 6월 8일 한국인터넷진흥원이 인터파크의 보안 관리 체계를 심사한 뒤 작성한 보고서를 공개했습니다.
2015년 4월 처음으로 개인정보보호 관리체계(PIMS) 인증을 받은 인터파크가 인증 자격을 유지하기 위해 1년 만에 받은 심사였습니다.
심사 결과 인터파크는 비회원 고객의 주문 비밀번호나 휴대전화번호 등을 서버로 보내는 과정에서 암호화하지 않았고, 고객 계좌번호 34만 개도 암호화 없이 데이터베이스에 저장한 것으로 드러났습니다.
직원 컴퓨터에서는 고객 주민등록번호와 여권 번호가 포함된 파일이 암호화되지 않은 채 발견됐습니다.
개인정보취급자의 컴퓨터도 이메일과 메신저 사용이 가능했고, 인터넷으로 파일 전송 역시 차단하지 않았습니다.
이는 개인정보취급자의 컴퓨터망을 물리적 또는 논리적으로 분리해야 한다는 방송통신위원회의 고시를 위반한 것입니다.
인터넷진흥원은 이 같은 내용을 담은 보완조치 요청서를 지난달 8일 인터파크에 전달했습니다.
인터파크 관계자는 이에 대해 "인터넷진흥원의 이번 지적 사항은 해킹 정보 유출과는 무관하다"며 "지적받은 내용은 대부분 보완을 마쳤다"고 해명했습니다.
새누리당 박대출 의원은 "인터파크 해킹 사건은 정부와 기업의 형식적인 정 보보호 관리 수준을 여실히 보여주는 것"이라며 "정보 보호 인증 후에도 상시적으로 해당 기관의 보안 체계를 관리 감독하도록 관련 제도를 개선해야 할 것"이라고 지적했습니다.