지난 5월 인터파크는 1천만명이 넘는 고객의 개인정보가 털리고 두 달동안 유출된 사실조차 모르고 있었다. 경찰은 약 1030만 건의 인터파크 고객정보가 유출된 사고에 대해 잠정적으로 북한의 소행이라고 결론을 내렸다.
그런데 인터파크 해킹 사태의 시작은 특정 내부 직원을 겨냥한 '스피어피싱'(작살형 피싱)이었던 것으로 나타났다.
미래창조과학부와 방송통신위원회는 31일 이런 내용의 '민·관 합동조사단'의 조사결과를 발표했다.
조사결과 해커는 최초 스피어피싱 기법으로 인터파크의 직원 PC에 악성 코드를 심는 데 성공한 것으로 확인됐다.
스피어피싱이란 특정 개인이나 기관의 약점을 교묘하게 겨냥해 작살(스피어)을 던지듯 하는 해킹 공격을 뜻한다.
직원의 정보를 미리 염탐하고 당사자가 믿을 수 있도록 지인·거래처를 사칭하는 이메일을 보내 악성 코드 파일을 열게 하는 수법이 대표적 사례다.
이렇게 심어진 악성 코드는 인터파크 사내의 다수 전산 단말기에 퍼져 내부 정보를 수집했다.
이번 조사결과는 경찰청 사이버안전국과 정부 합동조사팀이 지난달 말 발표한 수사 결과와도 일맥상통한다.
경찰은 해커가 인터파크의 한 직원에 관한 사전 정보를 대거 수집하고서 이 직원의 동생을 사칭한 악성 코드 이메일을 보내 특정 PC를 감염시켜 회사 내부망에 침입했다고 밝힌 바 있다. 경찰은 해킹의 가해자가 북한 정찰총국 소속 해커들로 강하게 의심된다고 발표했다.
해커는 경영관리직인 A씨가 개인적으로 쓰던 포털 이메일의 ID와 비밀번호를 알아내고 이를 통해 A씨가 동생과 주고받던 메일 내용을 엿봤다.
해커는 이후 올해 5월3일 A씨에게 동생을 사칭한 가짜 메일을 보내 '우리 가족 사진으로 컴퓨터 화면 보호기 파일을 만들었으니 열어보라'며 악성 코드를 심은 첨부 파일을 열도록 유도했다.
A씨가 사무실에서 첨부 파일을 열면서 A씨 회사 PC에 악성 코드가 심어졌다. 이 악성코드는 회사 내부전산망을 통해 다수 단말기로 퍼지며 회사 정보가 고스란히 해커의 손에 들어갔다.
이어 해커는 5월 4∼6일 사이 고객 개인정보의 저장고인 데이터베이스(DB) 서버를 관리하는 '개인정보 취급자 PC'의 제어권까지 탈취해 서버 내의 개인정보를 빼돌렸다고 미래부·방통위는 설명했다.
미래부와 방통위는 이번 조사는 해킹 경로와 보안상 취약점을 확인하는 것이 목적이라 해커의 신원을 따로 조사하지 않았다고 밝혔다.
이번 사건으로 아이디·암호화된 비밀번호·휴대전화 번호·주소 등이 유출된 현 인터파크 일반 회원은 모두 1094만여건(ID 기준) 규모로 조사됐다고 미래부·방통위는 전했다.
또 휴면 회원의 ID 1152만여건도 ID 명칭과 암호화된 비밀번호가 유출된 것으로 나타났다.
