[디지털데일리 최민지 기자] 특정 직원을 표적 대상으로 삼아 단 한 대의 PC를 감염시켜 1094만건 이상의 개인정보를 탈취한 인터파크 해킹사건의 전말이 드러났다.

31일 미래창조과학부(이하 미래부)와 방송통신위원회(이하 방통위)는 지난 5월3일부터 6일까지 발생한 인터파크 침해사고 관련 ‘민·관합동조사단(이하 조사단)’의 조사 결과를 발표했다.

이번 조사는 지난달 28 북한 정찰총국 소행으로 판단된다는 인터파크 고객정보 해킹 및 협박사건에 대한 경찰청의 중간 수사 결과 발표와 병행해 사고 대응, 피해 확산 방지 등을 위한 침해사고 원인 분석을 위해 실시됐다.

해커는 인터파크 고객정보 탈취까지 3일밖에 걸리지 않았다. 이번 해킹 사건은 대표적인 지능형지속위협(APT) 사례다.

지난 3일 오후 4시38분경 해커는 특정 직원의 가족을 사칭해 악성코드가 첨부된 이메일을 발송했다. 평소에 가족 및 지인들과 메일을 자주 주고 받는 경우, 의심 없이 메일을 열고 파일을 다운로드받게 된다. 해커는 이 점을 노리고 한 직원을 타깃으로 삼은 것이다.

결국, 한 시간도 지나지 않아 직원 A는 메일을 열람하고 PC는 악성코드에 감염됐다. 해커는 이 직원의 PC를 경유해 파일공유서버에 접속하고 악성코드를 설치했다. 이 서버를 통해 패스워드 대입공격을 수행하게 된다. 이는 감염을 확산시키고 정보를 수집하기 위해 이뤄졌다.

해커는 다음날인 4일 오후 11시4분경 파일공유서버를 경유해 개인정보취급자 PC로 접속했다. 5일 오전 2시10분경에는 DB서버 접속까지 성공했다. 감염된 직원 B의 PC를 경유해 개인정보취급자 PC 및 DB서버에 재접속한 것으로 확인됐다.

5일 오후 12시8분부터 6일 오전 2시5분까지 해커는 DB서버 개인정보를 탈취하고 웹서버, 취급자 PC, 직원 B의 PC를 거쳐 고객정보를 외부로 유출시켰다.

해커는 패스워드 관리 및 서버 접근통제 관리 등의 취약점을 악용해 인터파크 회원정보 2665만8753건이 보관된 파일을 16개로 분할하고 직원PC를 통해 외부로 유출한 것으로 조사됐다.

이 중 1094만7544건에 달하는 인터파크 회원정보가 해커 손에 들어갔다. 이 정보에는 ▲아이디 ▲암호화된 비밀번호 ▲이름 ▲성별 ▲생년월일 ▲전화번호 ▲휴대전화번호 ▲이메일 ▲주소가 포함돼 있다.

미래부는 인터파크 대상으로 조사과정에서 발견된 문제점을 개선·보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원을 실시했다. 방통위는 침해사고를 인지한 후 인터파크에서 개인정보 유출 침해사고를 확인하고 해당 피해사실 및 이용자 조치방법 등을 이용자에게 통지토록 조치했다.

방통위는 개인정보 보호조치 위반 관련 사항에 대해서는 ‘정보통신망이용촉진 및 정보보호 등에 관한 법률’에 따라 조치할 예정이다.

민관합동조사단 단장인 송정수 미래부 정보보호정책관은 “침해사고가 발생한 경우 미래부 등 관계기관에 즉시 신고해야 한다”며 “증가하는 북한의 사이버 도발 위협에 대비해 개인정보보호 및 사이버보안 체계를 재점검하는 등 정보보호 노력을 강화하는 것이 매우 중요하다”고 강조했다.

<최민지 기자>cmj@ddaily.co.kr