인터파크 1,000만 고객 정보 유출 사건 분석..."완벽한 APT 공격 사례, 2차 피해로 확산될 듯"

인터넷 쇼핑업체인 인터파크가 사이버 범죄자에 의해 해킹당해 1,000여 만건의 고객 개인정보가 유출됐다. 이 사실은 7월 25일 경향신문에 보도된 이후, 인터파크의 공식 사과문과 경찰청의 보도자료를 통해 확인됐다.



경찰청 사이버 안전국은 25일 보도자료를 통해 2016년 7월 11일 인터파크 측으로부터 개인정보를 훔쳐간 사람에게 이메일로 협박받고 있다"는 신고를 받고 수사에 착수했다고 밝혔다. 이 사이버범죄자는 인터파크의 전산망을 해킹해 회원들의 개인정보를 빼냈고, 금전을 보내지 않으면 개인정보 유출 사실을 알리겠다는 내용의 이메일을 인터파크 측에 보냈다.

경찰은 현재 협박에 이용된 이메일과 피해 전산망을 분석해 침입, 유출 경위를 규명중이며, 사이버공격자를 검거하기 위해 수사력을 집중하고 있다고 전했다.

인터파크는 25일 홈페이지 공지 사항란에 개인정보 침해 사고 관련 공지를 게재했다. 인터파크 측은 7월 11일 해커 조직에 의해 APT 형태의 해킹에 고객정보 일부가 침해당한 사실을 인지했으며, 그 다음날 경찰청 사이버 안전국에 신고, 공조를 시작했다고 밝혔다.

인터파크는 이번에 침해 당한 회원 정보는 이름, 아이디, 이메일, 주소, 전화번호으로 추정하고 있다. 개인별로는 유출 항목에 차이가 있는데, 휴대폰 전화번호, 암호화된 비밀번호, 생년월일, 이메일 또한 유출된 고객들도 상당히 존재했다. 인터파크 측은 고객의 주민번호와 금융정보 등은 유출되지 않았으며, 비밀번호는 암호화되어 있어서 안전하다고 말했다.

인터파크의 개인정보 유출 조회는 인터파크 페이지 팝업 또는 아래 URL을 통해 확인 가능하다.
https://incorp.interpark.com/member/memberjoin.do?_method=getMemberInfo

이에 25일 저녁 미래창조과학부와 방송통신위원회는 인터파크 개인정보 유출사고의 원인을 조사하기 위해 미래부·방통위 공무원과 민간 전문가로 구성된 '민관 합동조사단'을 구성해 조사를 실시한다고 밝혔다.

방통위는 개인정보 유출사고로 인한 사용자 보호를 위해 개인정보 불법유통 및 노출 검색 모니터링을 강화하는 한편, 개인정보침해신고센터를 24시간 가동하고 신고 접수를 받도록 했다.

미래부는 침해사고 원인 분석과 더불어 개인정보 유출에 악용된 취약점 등을 보완, 조치할 수 있도록 기술 지원을 실시하고, 이번 사건으로 유출된 개인정보를 이용한 파밍, 피싱 등 2차 피해예방을 위해 비밀번호를 변경하는 등 주의를 기울여 줄 것을 당부했다.

인터파크 개인정보 유출 사건 분석
지금까지 추정되는 개인정보 유출 경로는 사이버범죄자가 인터파크 내부직원들에게 악성코드가 첨부된 이메일을 발송(피싱 공격 또는 스피어 피싱 공격)해, 내부직원 PC 감염(침투 성공)시키고 감염된 PC를 통해 인터파크 DB에 접근해 개인정보 1,030여 만 건 탈취(개인정보 유출)한 것으로 알려졌다.

현재까지 밝혀지지 않은 것은 침투 이메일이 활용한 악성코드 종류, 공격자의 DB 접근권한 획득 방법, 인터파크 측의 ISMS 시행 여부 등이다. 이번 사건의 범죄자를 알아내는 것은 사실상 불가능할 것으로 보이지만, 다른 사안들은 명백히 밝힐 수 있는 것이다.

문제는 이 해킹 사실이 드러난 것은 7월 11일 사이버범죄자가 30억 원 상당의 비트코인을 요구하면서라는 점이다. 공격자가 해킹 사실을 밝히지 않았다면 전혀 인지하지 못한 상황으로 이는 전형적인 APT 사례다.

기업이 스스로 해킹 사실을 인지하는 것은 상당히 어렵다. 2015년 맨디언트 M-트렌드에 따르면, 조직이 내부에서 침해를 인지하는 경우는 31%에 불과하며, 69%가 정보기관이나 감사 기관, 해커의 협박, 언론 공개 등 외부에서 정보를 전달한 것으로 나타났다. 또한 조직들이 자사의 침해 사실을 알게 되는 건 공격자의 침입 후 평균 205일이 지나서다. 최초 침해 발생부터 발견까지 6개월 이상을 전혀 모르고 있었다는 것이다.

이번 유출 사건에서 그나마 다행스러운 것은 인터파크가 2015년 개인정보관리체계(PIMS) 인증을 획득한 바 있어, 유출 이후 피해 최소화에 방안을 세워뒀다는 점이다.

2014년 8월, 정부는 방통위의 개인정보관리체계 인증제(Person Information Management System, PIMS)와 행자부의 개인정보보호 인증제(Personal Information Protection Level, PIPL)를 통폐합하고 2016년 1월부터 개인정보보호관리체계 인증(PIMS)을 통합 시행하고 있다.

다만 이 인증의 목적이 개인정보 유출 자체를 방지하는 것이 아니라 개인정보 침해 가능성을 최소화하는데 있다는 것이다. 하지만 지금까지 개인정보의 식별 기준이 모호해 보호 대상이 주민번호 등에 한정되어 있고 이름, 전화번호 등은 그대로 노출되어 있다는 점에서 한계를 갖고 있다. 정부는 지난 6월에서야 개인정보 식별 기준을 명확히 규정하기 위해 개인정보 비식별 조치 가이드라인을 발간했다.

한 보안 관계자는 "지하 시장에서 사이버범죄자들의 공공재화가 된 주민번호보다 이름과 전화번호가 더 비싸며 2차 피해 확산의 주범이다"며, "지켜야 할 개인정보는 주민번호가 아니라 이름과 전화번호다"고 말했다.

이번 사건의 문제점은 앞서 설명한 대로 공격자가 고객 개인정보를 인질로 인터파크를 협박한 지 열흘 이상이 지났음에도 공격자 특정은 물론, 자세한 공격 경위나 방법, 그리고 유출된 정보 등에 대해서도 정확히 파악하지 못하고 추정할 뿐이라는 점이다.

또다른 보안 관계자는 "어차피 APT는 알고도 못 막는 거라지만 이번 사건에서 가장 궁금한 것은 인터파크의 망분리 여부다. ISMS 인증을 했다면 분명 망분리가 되어 있고 이것만 제대로 관리했어도 쉽게 정보를 유출하지 않았을 것이다"고 말했다.  

또한 "내부의 일반 직원이 사용하는 망과 DB 담당자들이 사용하는 그것은 서로 분리되어 있어서 일반 직원 PC에선 DB 직원 PC로 접속 자체가 안 된다"며, "일반 직원 PC에서 어떻게 DB 담당자 PC에 접근이 가능했는지 궁금하다"고 의문을 표시했다. 

무엇보다 우려스러운 것은 유출된 개인정보에 따른 2차 피해다. 26일 오후까지, 2차 피해를 우려한 각종 미디어의 기사에 대해 인터파크와 경찰 측은 2차 피해는 없다고 전했다.

인터파크를 협박한 공격자가 소정의 목적을 달성하지 못한 해당 개인정보를 어떻게 처리할 지는 불명확하다. 하지만 이름과 전화번호만 있어도 사칭 범죄, 보이스 피싱 등 각종 범죄에 충분히 악용될 수 있기 때문에 지하 시장에서의 개인정보를 팔거나 공개 등으로 이어질 가능성이 높다.

또한 지금까지 개인정보를 유출한 기업들은 사과문을 발표하면서 모두 하나같이 2차 피해에 대해 전액 보상하겠다고 밝힌 바 있다. 하지만, 정작 순순히 보상을 한 기업은 없으며 2차 피해 보상을 받은 피해자는 전무하다.

2차 피해를 입증하는 것은 피해자 본인이 해야 하며, 이런 피해 사실이 해당 개인정보 유출 사건으로 인한 것임을 입증하기란 사실상 불가능하기 때문에 2차 피해는 모두 피해자 몫이 되고 있는 실정이다.

한편 스피어 피싱을 통한 침입을 완벽하게 막기란 사실상 불가능에 가까우며 내부에서 은밀히 활동하는 공격자를 탐지하는 것도 어려운 일이다. 국내 대부분의 전자상거래 업체들은 이미 고객 정보를 유출한 경험을 갖고 있다.

그렇다고 이런 사실이 고객 개인정보 유출 사건에 대한 면책이 되어서는 안되며, 기업은 고객 정보 보호를 위한 '최선의 노력 의무'를 다해야 한다. editor@itworld.co.kr