인터파크 해킹 궁금증 3가지…2차 피해도 우려
by김현아 기자
2016.07.26 16:05:35
[이데일리 김현아 정병묵 기자] 인터파크의 전산망이 해킹당해 고객 1030만 명의 개인정보가 유출된 것으로 확인되면서 충격을 주고 있다.
이번 사건과 관련 △해킹 수법이 한국수력원자력 때와 닮았는데 해킹 이후 두 달 동안 몰랐던 이유(최신 해킹 기법인 지능형 지속가능 위협(APT) 공격은 막을 수 없는가) △주민번호 유출이 없으면 2차 피해는 없을까△가상화폐인 비트코인으로 돈을 요구하면 범인 검거는 불가능한 일일까 등이 관심이다.
인터파크는 정부가 보증하는 개인정보관리체계(PIMS) 인증을 획득했고 비밀번호도 암호화했기 때문에 걱정말라고 고객에게 공지했지만, 전문가들 생각은 다르다.
해커가 직원 이메일에 악성코드를 심어 감염시킨 뒤 인터파크 내부 전산망 공격에 들어간 것은 전산망에 취약점이 존재했다는 의미이고, 요즘처럼 빅데이터 기술이 발달한 상황에선 비밀번호가 없어도 이름이나 주소, 휴대폰 번호만으로 충분히 개인식별이 가능한 2차 범죄가 가능하다는 것이다.
이 해킹은 인터파크 직원의 이메일을 해킹해 시작됐다. 직원에게 악성코드가 실린 이메일을 보내 해당 직원 PC를 감염시킨 뒤 공격 수위를 높여가다 인터파크의 고객데이터베이스관리시스템까지 정복한 것이다. 지난해 발생한 한국수력원자력의 해킹 사건과 비슷하다. 이는 특정 타깃을 대상으로 장시간 동안 진행되기에 지능형 지속가능 위협(APT, Advanced Persistent Threat)으로 불린다.
APT의 속성상 내 전산망이 당했는지 눈치채기 어렵다고 하더라도, 막을 방법이 없는 것은 아니다. 권석철 큐브피아 사장은 “스팸차단 솔루션이 있어도 100% 완벽하게 걸러내지 못하는 것처럼, 공격 패턴에 대한 정보가 없으면 백신이나 침입탐지시스템 같은 기존 보안제품으로는 APT를 막기 어렵다”면서도 “하지만 개념을 바꿔 생각하면 답이 없는 게 아니다. 해커가 전산망 침입 시 바로 그 순간에 악성코드의 진원지를 역추적해 범인을 잡는 솔루션도 있다”고 말했다.
특히 인터파크는 인터넷 전문은행에 도전할 정도로 신뢰성을 강조해 오면서도 전문 외부 보안업체를 활용하지 않고, 15명 규모의 내부 보안 조직만 두고 자체 해결해 온 것으로 드러나 논란이다.
유출된 개인정보는 성명, ID, 이메일주소, 주소, 휴대폰 전화번호, 비밀번호 등이다. 2012년 8월부터 인터넷사업자의 주민등록번호 보관이 금지돼 주민번호는 유출되지 않았다.
또한 비밀번호는 털렸어도 암호화돼 있어 안전하다는 게 인터파크 설명이다.
하지만 보안업체 관계자는 “암호는 풀면 그만이고 유출된 개인정보는 다른 데이터들과 조합하면 충분히 위험한 정보로 둔갑할 수 있다”며 “인터파크 홈페이지에서 개인정보 유출 여부를 확인할 수 있다. 내 정보가 유출됐다면 다른 인터넷이나 금융사이트의 비밀번호를 변경하는 게 안전하다‘고 말했다.
미래창조과학부 관계자는 “관련 법상 전산망 침해사건이나 개인정보 유출 사고 발생 시 미래부, 방통위, 한국인터넷진흥원(KISA)에 즉시 신고해야 고객 피해를 줄일 수 있는데 인터파크는 지키지 않았다”면서 “이 부분에 대한 과징금이나 과태료 부과 등이 불가피하다”고 말했다.
인터파크가 해킹조직에게 당했다는 사실을 안 것은 7월 11일 해커들이 협박메일을 보냈기 때문이다. 30억 원 상당을 비트코인으로 송금할 것을 요구한 것으로 전해졌다.
비트코인이란 싸이월드 ‘도토리’나 ‘네이버 캐쉬’와 같은 가상화폐로 현금처럼 쓸 수 있다. 비트코인용 계좌를 만들 때도 신분증 검사 같은 건 필요 없어 불법적인 거래에 쓰이기도 한다.
김승주 고려대 정보보호대학원 교수는 “비트코인은 추적이 쉽지 않아 지하경제에서 쓰이기도 한다”며 “미국 차병원이 해킹 당했을 때 해커가 비트코인으로 거액을 요구했고 이를 지급한 걸로 안다. 범인은 잡지 못했다”고 말했다.
다만, 비트코인도 인터넷상의 가상화폐여서 해킹 기술을 이용하면 지갑 주인(범인)을 역추적할 수 있는 기술적인 가능성은 있다.
박성준 동국대 지식정보연구소 블록체인 연구센터장은 “기술적으로 쉽지는 않지만 트래픽과 일종의 해킹기술을 이용해 외국에서 비트코인을 추적하는 서비스가 있다”며 “서울대 대학원생이 비트코인의 추적성에 대한 논문을 쓴 바 있다”고 말했다.
경찰청의 해커검거 수사와는 별도로 미래부, 방통위, KISA 등은 송정수 미래부 국장을 단장으로 하는 9명의 ‘민·관합동조사단’을 꾸렸다. 경찰청이 가져간 인터파크 서버의 로그 파일 등을 넘겨받아 해킹 원인 분석과 더불어 인터파크가 개인정보 유출에 악용된 취약점을 보완할 수 있도록 기술 지원을 시작했다.