민관 합동조사단 사건분석 결과
직원 1명에 악성코드 심어 해킹
지난 5월 인터넷 쇼핑몰 인터파크에서 발생한 대규모 개인정보 유출 사고는 직원 신상을 캐낸 뒤 직원 동생을 사칭해 이메일로 악성코드를 유포한 해커소행으로 밝혀졌다.
미래창조과학부와 방송통신위원회는 31일 이런 내용의 민관 합동조사단 조사결과를 발표했다. 조사단은 이번 사고는 해커가 개인정보에 접근할 수 있는 내부 시스템에 침투하는 지능형 지속위협(APT) 공격을 받은 것으로 인터파크 회원 이름과 생년월일, 휴대폰 번호 등 개인정보 1,094만7,544건이 유출된 것으로 확인됐다고 밝혔다. APT 공격은 범행 대상을 정한 뒤 알아채지 못하게 접근하는 것이 특징이다. 낚시성 이메일을 작살(스피어) 던지듯 특정 대상에게 보내 ‘스피어 피싱’이라고도 불린다.
조사 결과 해커는 스피어 피싱 수법으로 인터파크 직원 PC에 악성코드를 심는데 성공했다. 해커는 5월초 인터파크 경영관리직원인 A씨가 쓰는 개인 포털 이메일 ID와 비밀번호를 알아내고 이를 통해 A씨가 동생과 주고받던 메일 내용을 엿봤다. 해커는 이후 A씨 동생을 사칭한 가짜 안부 메일을 보내 ‘우리 가족 사진으로 화면 보호기 파일을 만들었으니 열어보라’며 악성코드가 심어진 첨부 파일을 열도록 유도했다. A씨는 사무실에서 첨부파일을 열었고 A씨 PC는 곧 바로 악성코드에 감염됐다. 이 악성코드가 내부 전산망을 통해 여러 단말기로 퍼지자 해커는 A씨 PC로 인터파크 내부망에 접속한 뒤 고객 개인정보 데이터베이스 서버를 관리하는 ‘개인정보 취급자 PC’제어권까지 탈취했다. 해커는 이를 통해 1,090만명이 넘는 회원들의 개별 정보 2,665만8,753건이 보관된 파일을 16개로 나눠 외부로 빼돌렸다. 이 모든 과정에 걸린 시간은 단 3일이었다.
정보통신망법에 따르면 개인정보를 취급하는 사업자는 정보 누출 등을 방지하기 위해 기술 관리 조치를 취해야 한다. 회원 2,000만명이 넘는 인터파크가 내부 정보를 빼내가는 전형적인 수법에 당한데다, 해킹 발생 2개월이나 지난 7월에야 이를 파악하고 신고하는 늑장 대응을 보인 만큼 행정처분을 피하기 어려워 보인다. 개인정보 보호 조치 미흡이 확인되면 인터파크는 관련 매출의 100분의 3 수준을 과징금으로 내야 한다.
이에 앞서 지난 7월 경찰은 인터파크 측에 해킹사실을 공개하겠다며 금전을 요구한 협박 메일의 문체, 해킹에 쓰인 인터넷 프로토콜(IP) 주소 등을 근거로 이번 해킹사건이 북한 정찰총국 소행으로 의심된다는 중간 수사 결과를 발표한 바 있다. 맹하경 기자 hkm07@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0