[일요시사=경제2팀] 전 국민이 개인정보 유출 사태로 몸살을 앓고 있다. 금융권, 통신사 등에 이어 이번에는 소셜커머스업체 티켓몬스터가 고객정보를 유출했다. 소셜커머스 업계에서 고객 개인정보 대량 유출 사실이 확인된 것은 이번이 처음이다.
티켓몬스터(이하 티몬)의 고객정보가 유출됐다. 티몬의 113만명 개인정보가 3년 전에 털린 것으로 드러났다. 그러나 정보 유출사고에 대한 티몬의 미숙한 대응에 소비자들의 비난이 확산되고 있다. 개인정보 유출사고 후에도 은근슬쩍 넘어가려는 티몬의 태도 때문이다.
슬쩍 넘어가기
티몬은 최근 경찰로부터 2011년 4월 해킹에 의해 발생한 것으로 추정되는 113만명의 고객 정보가 유출됐다는 사실을 전달 받았다고 밝혔다. 경찰에 따르면 유출된 정보는 티몬 회원의 이름, 아이디, 성별, 생년월일, 휴대폰번호, 전자우편주소, 배송지 전화번호 및 주소, 사진을 업로드 한 경우 해당 이미지 파일 등이다.
인천지방경찰청 사이버수사대에서 확인한 결과, 티몬 회원 정보유출 사건은 경찰이 지난달 발표한 225개 웹사이트 해킹 사건을 수사하는 과정에서 나왔다. 티몬을 해킹한 해커는 경찰이 지난달 발표한 인터넷 사이트 225개를 해킹한 해커들과 동일인물로 알려졌다.
당시 경찰은 인천경찰청 사이버수사대는 국내 인터넷 사이트 225개를 해킹해 1700만건의 개인정보를 입수해 판매한 혐의로 김모(21)씨와 최모(21)씨 등 2명을 구속했다. 개인정보 구매업자, 해킹의뢰자 7명도 불구속 입건했다.
해킹을 주도한 김씨는 중·고교를 검정고시로 입학해 대학에는 진학하지 않았으며 독학으로 해킹능력을 키워온 것으로 알려졌다. 그는 해킹 툴인 웹셸 등을 통해 정보를 입수했다. 웹셸은 공격자가 원격으로 웹 서버에 명령을 할 수 있도록 만들어진 해킹 툴이다. 이를 이용하면 서버 내의 거의 모든 자료를 들여다 볼 수 있다. 관리자 권한을 획득한 것과 마찬가지다.
경찰은 공범 해커도 추적하고 있는 것으로 파악됐다. 그러나 인천지방경찰청 사이버수사대는 이 해커가 중국에 있어 검거하기 어렵다는 입장이다. 경찰은 "티몬 고객정보 유출의 주범인 해커는 현재 중국에 있다"며 "그 해커를 통해 자료를 입수한 판매상을 검거한 것"이라고 설명했다.
경찰은 현재 개인정보 유출 관련 업체들을 조사하고 있다며 자세한 결과는 일주일 후 발표할 예정이다.
고객정보 유출 사건 이후 신현성 티몬 대표는 보도자료를 통해 "고객들에게 실망과 불편을 드리게 돼 진심으로 죄송하다"며 "수사에 적극적으로 협조하고 재발 방지 대책을 마련 하겠다"고 밝혔다. 신 대표는 "해킹 방지를 위해 보안전문 업체인 SK인포섹으로부터 전문적인 보안 관리를 받고 있다"며 "향후 이 같은 사건이 다시는 일어나지 않을 것"이라고 전했다.
티몬은 홈페이지를 통해 "고객정보를 유출한 해커는 현재 구속되어 구체적인 유출경위 등에 대한 경찰 수사가 진행되고 있다"면서 "당사는 경찰의 수사에 적극 협력하면서 고객님께 발생할 수 있는 피해를 예방하고 유사 사례 방지를 위해 최선의 노력을 기울이고 있다"고 밝혔다.
주민등록 번호와 패스워드 등의 중요 정보는 유출은 발생하지 않은 것으로 파악됐다. 티몬은 주민번호와 비밀번호는 일방향으로 암호화해 해커가 풀어내거나 식별할 수 없다고 해명했다.
그러나 티몬은 2011년 4월 발생한 고객정보 유출사건을 3년간 알지 못했다는 점에서 이용자들의 비난을 면하기 힘들 전망이다. 지난 2011년 소셜커머스 업체 쿠팡은 사이트 해킹으로 악성코드 유포 가능성이 제기됐지만 즉각 대응으로 개인정보 유출은 막을 수 있었다.
그런데 티몬은 의외의 반응을 보였다. 모를 수밖에 없었다는 입장이다. 티몬 관계자는 "해커의 실력이 워낙 뛰어나 흔적조차 없어서 알 수도 없었다"면서 "3년 전 티몬은 대학생들끼리 만든 수준의 벤처기업 규모였는데 당시 정보유출된 것을 어떻게 알았겠느냐"고 말했다. 오히려 억울하다는 이야기다.
3년 전 털린 사실 이제야 드러나
"모를 수밖에" 적반하장 해명 빈축
연락 3일 뒤 발표…축소·은폐 의혹
특히 업계에서는 티몬이 정보유출을 확인하고도 내부적으로 사건을 숨기려고 했다는 의혹이 제기되고 있다. 티몬은 지난 5일 경찰찰청 사이버수사대에서 연락을 받았다. 경찰은 티몬 측에 유출된 회원 데이터베이스를 보여주며 확인을 요청했다. 티몬은 경찰로부터 지난 5일 유출 사실을 전달받고도 7일 금요일 오후 늦게야 언론에 사실을 공표했다.
업계 한 관계자는 "굳이 금요일 저녁 시간에 고객정보 유출 사실을 알렸다는 점에 의문이 든다"며 "티몬은 사건의 파장을 축소하는 데 급급하다"고 비판했다. 그는 "요즘 정보유출 사건 규모가 워낙 크다보니 은근슬쩍 묻어가려는 모습"이라고 지적했다.
유출 사건 이후 티몬의 미숙한 대응도 회원들의 비난을 사고 있다. 개인정보 유출 여부를 확인하려 해도 이용자들의 눈에 쉽게 띄지 않아 회원들이 유심히 찾지 않으면 관련 공지를 찾아보기가 어렵다. 티몬은 홈페이지에 사과문을 올렸지만 이용자들의 눈에 띄지 않는 곳에 게시했다. 사과문과 유출 확인 여부는 이용자가 홈페이지 좌측에 있는 ‘2011 개인정보 유출 확인’을 직접 찾아 클릭해야 볼 수 있다.
티몬 회원이 개인정보 유출을 확인하려면 '2011 개인정보 유출 확인'에서 '개인별 조회' 버튼을 클릭한 후 개인정보 이용에 동의해야 한다. 이어 티몬 ID와 전화번호를 입력하면 개인정보가 유출됐는지 알 수 있다. 이번 사건을 모르는 이용자들은 티몬에서 고객정보 유출 사고가 있었는지도 알아차리기 쉽지 않을 것으로 보인다.
미숙한 대응
티몬의 한 단골 회원은 "티몬에 들어가도 공식사과 팝업창 같은 건 뜨지도 않고 유출정보 확인 여부는 홈페이지 구석에 숨겨 놓아 찾기도 어려웠다"며 "이미 개인정보는 다 털린 것 같은데 정보유출 과정에서 또 개인정보 수집 내용에 동의하라고 해서 어이가 없었다"고 비판했다.
그는 "개인정보 수집도 동의하고 아이디랑 연락처까지 입력했더니 결국 고객센터에 전화하라고 나온다"며 "대체 무슨 기능을 구축했다는 건지 이해할 수 없다"고 분통을 터뜨렸다.
박효선 기자 <dklo216@ilyosisa.co.kr>
