인터파크 개인정보 유출 北 배후...허술한 보안 상태 노렸다

1030만명 고객 정보를 유출한 인터파크 해킹 사고 배후로 북한이 떠올랐다.

27일 관련 기관과 업계에 따르면 인터파크 해킹에 쓰인 악성코드가 2013년 6월 25일 청와대와 언론사, 2014년 11월 발생한 미국 소니픽쳐스 해킹 때와 동일한 것으로 분석됐다. 인터파크 공격에 쓰인 악성파일 명령&제어(C&C) 서버 일부가 북한이 주로 쓰는 것과 동일하다. 관계 기관은 추가 피해를 막기 위해 C&C 서버를 차단했다.

사이버 해킹 주범을 파악할 때는 주로 사용된 악성코드와 C&C를 분석 대조한다. 같은 공격자는 기존에 쓰던 악성코드를 재사용할 가능성이 크다. 한번 교두보로 확보한 C&C도 공격 거점으로 이용된다. 인터파크 해킹에 쓰인 C&C는 지난해 5월 발견된 북한발 악성코드와 동일한 서버에 연결됐다.

Photo Image
소니픽처스 해킹사건과 인터파크 해킹에 동일한 악성코드와 C&C가 확인됐다. ⓒ게티이미지뱅크

보안기업과 전문가는 그동안 국내외에서 발생한 북한 해커 소행으로 추정되는 방대한 악성코드 데이터베이스(DB)를 구축하고 신규 공격이 발생하면 이전코드와 어떤 유사점이 있는지 확인한다.

한 전문가는 “인터파크 사건은 처음에는 단순 고객 정보 유출 사건으로 분류됐지만 악성코드가 과거 북한이 사용한 것과 일치하면서 새 국면으로 접어들었다”고 설명했다. 이 전문가는 “북한은 2013년 3월 20일 금융권과 방송국을 마비시킨 대규모 사이버 테러를 일으켰는데 이번에는 비트코인으로 30억을 요구하는 새로운 심리전을 하고 있다”고 덧붙였다.

북한은 2014년 한국수력원자력 협력사에서 도면을 유출해 인터넷에 공개하며 돈을 요구하는 사이버 심리전을 펼쳤다. 지난 1월 제4차 핵실험 후 국제 사회 경제 제재가 강해지자 국내 기업 고객 DB를 해킹하고 돈을 요구하는 사이버 공격을 감행한 것으로 분석된다.

북한으로선 잃을 게 없는 요구안이다. 만약 DB를 유출한 인터파크가 사건을 은닉하기 위해 공격자 요구대로 비트코인 30억원을 보냈다면 외화를 번다. 지금처럼 경찰에 수사를 요청하면 과거 한수원 사고 때처럼 사이버 심리전을 펼치며 한국 내 남남갈등을 유발한다.

보안 전문가들은 인터파크가 북한 해커 공격에 당했다 해도 면죄부를 받을 수 없다고 강조했다. 공격자는 동종 업계보다 보안 수준이 상대적으로 낮은 인터파크를 표적으로 삼은 것으로 보인다. 보안전문가들은 한 차례 사고를 겪은 옥션이나 네이트 등과 달리 매출 4000억원 규모의 온라인 비즈니스인 인터파크 보안 허술을 지적한다.

Photo Image
인터파크 개인정보 침해 사고 사과문

공격자가 APT 공격으로 직원 한 명을 표적했지만 내부 보안 체계가 작동하지 않았다. 표적 당한 직원은 동생에게 지난 5월 이메일을 받았다. 공격자는 동생 이메일과 유사한 사칭 메일을 만들어 직원을 속였다. 평소에도 자주 이메일을 주고받던 사이라 전혀 의심하지 않았다. 동생으로 가장한 공격자는 악성코드를 숨긴 `화면보호기 파일`을 보냈고 직원은 의심 없이 회사 PC에 내려 받아 실행했다. 이런 과정을 거쳐 인터파크 내부에 악성코드를 심고 고객 정보를 유출했다.

방송통신위원회가 고시한 `개인정보의 기술적·관리적 보호조치 기준`에 따르면 개인정보처리시스템에서 개인정보에 접근 가능한 개인정보취급자 컴퓨터 등은 물리적 또는 논리적으로 망분리를 해야 한다. 외부 사이트에 접속 가능한 PC가 감염돼 개인정보가 담긴 DB서버까지 해킹됐다는 것은 망분리가 제대로 안됐다는 의미다.

과도한 DB 접속에 따른 이상행위 탐지 여부도 의문이다. 설사 DB 관리자 PC 제어권을 탈취당하더라도 대규모 고객정보를 빼가기 위해서는 평소와 다른 DB 접속이 발생한다. 이상행위 탐지에 따른 보호조치가 이뤄져야 했다.

한편 서울 YMCA는 27일 성명을 내고 개인정보 유출 사태에 정부 차원의 엄중한 처벌을 촉구했다. 지난 11일 해킹 피해 사실을 경찰에 신고하고 25일 뒤늦게 고객에게 공지한 것을 문제 삼았다. 정보유출사건 피해자들은 약관을 수정하며 책임을 회피하려한 인터파크에 반발해 인터넷 카페를 개설하고 집단소송을 준비하는 등 후폭풍이 거세다.


김인순 보안 전문기자 insoon@etnews.com, 박정은기자 jepark@etnews.com


브랜드 뉴스룸