▲ 해킹 방법 개요도. (자료=민·관합동조사단)

지난 5월 1,030만명 ‘개인정보유출’ 피해 발생

지난 5월 1,030만명의 개인정보유출 피해를 발생시킨 ‘인터파크 해킹 사건’은 회사 내 특정 직원을 겨냥한 ‘스파이피싱’이 그 시작이었던 것으로 조사됐다.

해커는 패스워드와 서버 접근통제 등 관리의 취약점을 악용해 범죄를 저질렀다.

미래창조과학부와 방송통신위원회는 31일 이같은 내용의 ‘민·관 합동 조사단’의 조사 결과를 발표했다.

조사단은 경찰로부터 넘겨받은 사고 관련자료(37종, 5테라바이트) 분석과 현장조사를 통해 해킹의 구체적인 방법 및 절차 등을 확인했다고 밝혔다. 이에 따르면 해커는 ‘스피어피싱’을 통해 인터파크 직원의 PC를 악성코드로 감염시킨 후 다수의 단말에 악성코드를 확산시켜 내부정보를 수집했다.

‘스피어피싱’은 물고기를 작살로 잡는 ‘작살 낚시(Spearfishing)’에 빗대 특정인을 대상으로 한 해킹 공격을 말한다.

악성코드에 감염된 단말기를 통해 해커는 DB서버에 접근 가능한 개인정보취급자 PC의 제어권을 획득하고 DB서버에 접속해 저장돼 있는 회원들의 개인정보를 외부로 빼돌렸다.

조사단의 조사 결과는 지난달 28일 경찰청 사이버안전국과 정부 합동조사팀이 발표한 수사결과와도 일치한다.

경찰은 해커가 직원의 동생을 사칭한 이메일을 보내 해당 직원의 PC를 감염시킨 후 내부망에 침투했다면서 북한 정찰총국 소속 해커들의 소행으로 의심된다고 발표한 바 있다.

조사단은 이번 해킹으로 인터파트와 제휴사의 일반회원 아이디, 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 1,094만7,544건 등 총 2,665만8,753건의 회원정보가 유출됐다고 설명했다.

미래부는 인터파크를 대상으로 조사과정에서 발견된 문제점을 개선·보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원을 실시했고, 방통위는 침해사고를 인지한 후 인터파크에서 개인정보 유출 침해사고를 확인하고 해당 피해사실 및 이용자 조치방법 등을 이용자에게 통지하도록 했다.

송정수 미래부 정보보호정책관(조사단장)은 “침해사고가 발생한 경우 미래부 등 관계기관에 즉시 신고해야 하며, 증가하는 북한의 사이버 도발 위협에 대비해 개인정보보호 및 사이버 보안 체계를 재점검하는 등 정보보호 노력을 강화하는 것이 매우 중요하다”고 말했다.