인터파크 해킹 배후는 북한? “소니픽처스 등 이전 공격과 악성코드 유사”

1030만명의 고객 개인정보를 유출한 인터파크 해킹 배후로 북한이 지목됐다.

보안전문가들이 이번 인터파크 해킹에 사용된 악성코드 등을 분석한 결과, 지난 2013년 6월 25일 청와대·언론사 공격과 2014년 11월 미국 소니픽처스 공격에 사용된 악성코드와 명령코드가 동일한 것으로 나타났다.

인터파크 공격에 사용된 악성파일의 명령·제어(C&C) 서버 중 일부도 소니픽처스 변종 악성파일과 주소가 100% 동일하다는 분석이 나왔다.

6.25 공격과 소니픽처스 공격은 모두 북한 소행으로 지목된 바 있다.

한 보안 전문가는 “인터파크 해킹 사고는 관련 악성파일에서 북한이 이전 사이버공격에 사용한 것과 일치한 부분이 발견돼 새로운 국면에 접어들었다”며 “북한이 스스로를 숨기고 30억원이라는 돈을 벌려는 목적이었는지 아니면 사회 혼란이나 다른 피해를 입히려는 목적이 있었는지는 알 수 없지만 단순히 개인정보를 유출하기 위한 의도만 있는 것은 아닐 것”이라고 말했다.

보안 전문가들은 인터파크 고객정보 유출 사고를 지능형지속위협(APT) 공격기법을 활용한 지능형 표적공격으로 보고 있다.

사본 -인터파크 개인정보침해인터파크 역시 지난 25일 웹사이트에 개인정보 침해사고를 공지하면서 “7월 11일 해커 조직에 의해 APT(지능형 지속가능 위협) 형태의 해킹에 고객 정보 일부가 침해당한 사실을 인지했으며, 익일 경찰청 사이버 안전국에 신고하여 공조를 시작했다”고 밝혔다.

이번에 이용된 악성코드는 ‘바이러스토탈(www.virustotal.com)’ 사이트에서 분석한 결과 50종의 주요 안티바이러스(백신)가 모두 탐지하지 못하는 것으로 나타나 공격자들은 사전에 치밀하게 공격을 준비했다는 예상도 나온다.

인터파크 공격자는 표적으로 삼은 직원 한 명의 개인 웹메일 계정으로 악성 메일을 보내는 방식으로 내부에 초기침투했다. 이 직원은 악성코드가 숨겨진 ‘화면보호기’ 파일을 회사 PC에 내려받아 실행해 감염된 것으로 분석됐다.

인터파크는 지난해 개인정보관리체계(PIMS) 인증을 획득했다. 개인정보에 접근 가능한 개인정보취급자 컴퓨터 등은 망분리가 돼 있었다.

안티바이러스는 물론이고 DB접근제어, 네트워크·이메일 대상 지능형지속위협(APT) 대응 솔루션도 사용하고 있는 것으로 알려져 있다.

그럼에도 공격자로부터 협박을 받을 때까지 해킹 사실이나 대량 고객정보가 유출된 것을 인지하지 못했다는 점에서 허울 수준의 허술한 보안관리체계를 운영한 것이 아니냐는 지적과 더불어 여러 의문이 제기되고 있다.

한 보안 전문가는 “맞춤형 표적공격 타깃이 되면 국산이든 외산이든 아무리 좋은 보안 솔루션을 사용하고 있더라도 안전을 담보하지 못한다는 것을 다시 한 번 알 수 있는 사례”라고 지적했다.

현재까지 인터파크 해킹은 인터파크 직원 PC가 악성코드에 감염돼 고객 DB서버에서 고객정보가 대량 유출된 것으로 파악된 상태다. 공격자가 인터파크 직원에게 악성코드 이메일을 보냈고 해당 이메일을 클릭하면서 PC를 장악당한 뒤 탈취한 관리자 계정을 이용해 DB서버에 접근해 고객정보를 유출한 것으로 추정되고 있다.

경찰청 사이버안전국은 7월 중순에 인터파크로부터 “개인정보를 훔쳐간 사람에게 이메일로 협박받고 있다”는 신고를 받고 수사에 착수했다.

공격자는 인터파크에 전산망을 해킹해 회원들의 개인정보를 빼냈고, 금전(30억 비트코인)을 보내지 않으면 개인정보 유출 사실을 알리겠다는 내용의 협박 이메일을 보냈다.

경찰은 협박에 이용된 이메일과 피해전산망을 분석해 침입, 유출 경위를 수사하고 있다.

미래창조과학부와 방송통신위원회도 ‘민·관합동조사단’을 구성해 인터파크 개인정보 유출사고 원인 조사를 진행하고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다