옥션 회원의 개인정보유출 사건이 올 초 보안 분야 초미의 관심사로 떠오르고 있다.

지난 2월 5일 옥션은 회원 개인정보 유출로 의심되는 단서를 발견, 일부 회원의 개인정보와 환불정보가 유출된 것으로 추정된다고 공지했다.

경찰청 사이버테러대응센터가 현재 이에 대한 수사를 벌이는 중으로, 중국발 해킹에 의한 것이라는 것만이 알려져 있을 뿐 아직까지 구체적인 개인정보유출 회원 규모나 유출정보의 범위는 밝혀지지 않은 상황이다.

그런데도 회원들은 최근 옥션에 허술한 보안관리로 인한 개인정보유출 책임을 묻기 위한 집단소송에 본격적으로 나섰다. 그러면서 이 사건은 한 달 만에 일파만파 커지고 있는 모습이다.

항간에서는 옥션이 보유한 회원규모와 예상되는 유출 정황에 따라 역대 최대의 개인정보 침해 관련 손해배상 소송이 될 것이라는 예측까지 나오고 있을 정도다.

이미 법무법인 두 곳이 경쟁적으로 관련 소송에 뛰어들면서 단숨에 수백 명 이상의 회원들이 3만원씩 내고 소송에 참여하고 있다. 동시에 검증되지 않은 제보와 이야기들이 잇따라 난무하고 있다.

옥션 회원 수 1800만 명 중 1760만 명의 개인정보가 유출됐고, 그 범위도 이름·주민번호·주소·이메일·전화번호·휴대전화번호·카드번호·비밀번호까지 대부분의 개인정보라는 제보에서부터, 개인정보 1700만 건과 물품판매 정보 1000만 건 정도가 유출됐다는 것에 이르기까지 다양하다.

개인정보유출뿐만 아니라 2차로 명의도용 피해까지 일어날 것이라는 예상도 나오고 있다. 당연히 옥션 회원들의 불안감은 더욱 커질 것이다.

해킹을 당한 당사자인 옥션뿐만 아니라 옥션의 보안관제를 맡고 있는 인포섹의 책임소재 문제도 거론되고 있는데, 서로 간에 책임을 떠넘기고 있는 것이 아니냐는 비난까지 일고 있다. 당연히 옥션과 인포섹은 본의 아니게 서로 싸우는 형국이 되면서 난감해진 상황이다.

모두 정확히 따져봐야 하는 일이다. 일단 가장 중요한 고객정보가 저장돼 있는 서버가 뚫렸다는 점에서 옥션이 져야할 책임은 두말할 나위가 없다.

옥션의 방화벽과 침입탐지시스템 보안관제를 맡고 있는 인포섹의 책임이 있는지도 가려질 것이다.

유출된 정보와 피해 고객의 범위가 얼마인지, 당시 옥션의 보안관리 상황이 어땠는지도 당연히 모두 규명해야 한다. 그리고 피해 고객들에게 배상도 해야 할 것이다.

그렇지만 아무것도 정확하게 드러난 것이 없는 지금의 상황에서 옥션 사고를 둘러싸고 점점 더 크게 확대 해석되고 필요 없는 여러 이야기들이 나오고 있어 안타깝다. 이번 해킹 사건이 혹시 명분을 내세워 돈을 벌기 위한 수단으로 전락되고 있는 것은 아닐까 하는 우려감도 든다.

기업을 대상으로, 알려진 웹사이트를 대상으로 알게 모르게 일어나는 지능적인 해킹 공격은 강위력하다. 협박성 DDoS(분산서비스거부) 공격처럼 현재로선 기업 각자가 마련할 수 있는 해결책을 찾기에 힘든 경우도 많다.

옥션은 내부의 보안관리 실태가 허술해 가장 중요한 고객의 개인정보를 보호하지 못한 것이라면 응당 이에 대한 비난을 받을 수밖에 없다. 또 그에 대한 책임도 져야할 것이다.

하지만 옥션 스스로 개인정보유출 의심 사실을 먼저 회원에 알리면서 비밀번호 변경 등을 요청해 추가 사고를 막으려 했던 점과 관계당국에 신속히 신고한 태도에만은 박수를 치고 싶은 심정이다. 스스로 이를 시인하고 먼저 알리는 것이 쉽지 않은 것을 알기 때문이다.

혹시라도 외부에 알려질까 노심초사하면서 무조건 쉬쉬하는 것이 해킹을 당한 기업들의 통상의 행동이었다.

이 시점에서 논란거리가 돼야 하는 더욱 중요한 것은 앞으로 이런 사례가 발생하지 않도록 하려면 어떻게 해야하느냐 하는 점이다. 이번 사고를 거울삼아 옥션을 비롯해 회원의 정보를 보유하고 있는 다른 모든 인터넷 서비스 제공업체가 언제 또 발생할 지 모르는 제2, 제3의 피해를 막을 수 있는 조치를 빠르게 강구해야 한다.

그리고 정부 관계당국도 나서야 한다. 현재 가장 필요한 것이 무엇인가? 법제도다.

고객의 개인정보를 보호할 의무와 책임을 확실히 규정하고 있는 법체계다. 그래서 서비스 업체들이 고객의 개인정보를 보호하는데 나서고 스스로도 갖고 있는 정보를 남용하거나 오용하지 않도록 강제해야 한다.

이러한 법의 필요성은 정보보호 분야에서 끊임없이 제기돼 왔다. 개인정보보호법이 국회에 지난 3년 간 올라와 있었지만 결국 외면당했고, 정부가 바뀌면서 완전 폐기된 상태다.

이번 사건은 옥션과 옥션 1800만 명의 회원, 비슷한 서비스 모델을 갖고 있는 인터넷서비스 기업과 인터넷 사용자 모두의 정보보호 인식을 높일 수 있는 크나큰 계기가 됐다. 새 정부와 국회도 현재 시급한 법제도가 무엇인지 정확히 알길 바란다.

<이유지 기자> yjlee@ddaily.co.kr