인터파크 회원들의 개인정보 1030만건이 유출됐다. 하지만 이를 밝히는 과정에서 인터파크가 사건 은폐를 시도한 정황이 드러나면서 피해고객들의 분노를 사고 있다. 이번 개인정보 유출사건은 관리의무가 있는 기업의 '보안 불감증'이 불러 온 사건이다. 피해고객을 중심으로 집단손해배상 청구소송 움직임까지 본격화되면서 기업존립을 위협하는 사태로 번질 전망이다.
인터파크의 데이터베이스(DB) 서버는 지난 5월 국적을 파악할 수 없는 해커에 의해 해킹을 당했다고 한다. 해커는 인터파크 직원들에게 무차별적으로 악성코드를 심은 이메일을 보내 회사 내부 DB에 침투한 것으로 파악됐다. 문제는 인터파크가 이런 사실을 지난 11일 인지하고도 15일 동안이나 쉬쉬하면서 개인정보보호를 위한 적절한 조치를 뒤로 한 채 자신들의 잘못 숨기기에 급급했다는 것이다. 인터파크는 지난 25일 밤 홈페이지 팝업창 공지를 통해 뒤늦게 개인정보 유출 사과문을 올렸다.
인터파크는 구멍 난 정보보안의 문제를 떠나 위기관리능력도 제로에 가깝다는 것을 보여줬다. 이미 벌어진 사안에 대해 공식적인 해명의 자리를 마련한 게 아니라 슬그머니 팝업창에 내용을 알리는 형태를 선택했다. 야간이란 시간대를 선택한 것도 곱게 보이지는 않는다. 일반적으로 늦은 밤 공지를 해야 하는 사안은 그만큼 시급한 내용이라는 특수성을 내포한다. 하지만 사실을 인지하고도 15일이나 우물쭈물하다 대응한 방법치고는 치졸하다고 밖에 볼 수 없다.
공지문의 표현에도 허점이 보인다. 사과문에서는 2차 피해를 일으킬 수 있는 주민번호, 비밀번호 등 민감한 개인신상정보는 유출되지 않았지만 이름, 아이디(ID), 이메일주소, 주소, 전화번호 등은 유출됐다는 내용이 표기돼 있다. 마치 주소, 이메일, 전화번호 정도는 다 공개되는 것 아니냐는 태도다. 이로 인한 2차 피해가 얼마나 심각하게 다가올지 사태의 심각성을 파악하지 못한 것인지, 알면서도 면피하려는 꼼수인지 잘 모르겠다.
인터파크는 지난 20일 '인터파크 이용약관 변경안내'에 대한 글도 공지한 것으로 알려진다. 이때 인터파크는 회원의 ID 및 비밀번호에 대한 책임을 지지 않는다는 내용을 담았다. 회원이 자동로그인, SNS연동로그인 등 ID를 부주의하게 관리하거나 타인에게 양도, 대여함으로써 발생한 손해에 대해 회사는 어떠한 책임도 지지 않는다는 것이 핵심이다.
책임을 회피하는 내용도 문제지만 약관을 변경한 시기도 수상하다. 개인정보 유출을 11일 인지하고, 20일 책임을 회피하는 약관변경을 시도하고, 25일 팝업창 공지를 통해 사실을 알리는 시나리오로 볼 수 있기 때문이다. 다행히 약관변경은 부정적 여론을 의식했는지 시행을 잠정 연기한 것으로 알려졌다.
결국 회사의 사과방식이나 표현 등에서 진정성을 느끼지 못한 피해자들이 행동에 나서고 있다. 인터파크 정보유출 피해자들은 지난 25일부터 집단소송을 위한 공식 인터넷 카페를 만들고 손해배상 청구소송을 진행할 피해자들을 모집하고 있다. 인터파크는 이번 사건 발생에 대한 잘못은 인정하면서도 금전적인 배상계획 등은 아직 없는 것으로 알려졌다. 피해자들의 집단반발로 인해 사고에 따른 배상여부도 소송을 통해 가려질 가능성이 높아졌다.
만약 소송에서 위기를 더 키울 경우 인터파크는 존립 자체까지 위협받을 수 있다. 지난 2014년 서울중앙지법은 KT 정보유출 사태 피해자 2만8715명이 KT를 상대로 낸 손해배상 청구소송에서 2만8000여명에게 10만원씩 배상하라는 판결을 내린 바 있기 때문이다. 이 경우 인터파크가 소비자들에게 물어줘야 할 배상액은 1조원에 달할 것으로 전망된다. 어느 기업이든 예상치 못한 일이 발생할 수 있다. 기업이 위기대응 매뉴얼을 가져야 하는 이유다. 인터파크의 위기는 개인정보유출이 아닌 기업의 위기관리의 허점을 노출한 비상사태다.