지난 2016년 7월 25일, 인터넷 쇼핑몰 인터파크는 익명의 해커 조직에 해킹당하여 약 1,030만 명의 개인정보가 외부로 유출되었다는 내용의 글을 홈페이지에 공지했다. 해커 조직은 5월 3일부터 약 3일 동안 컴퓨터 내부를 드나들며 데이터를 탈취하였고 자신들이 탈취한 정보를 외부에 알리고 싶지 않으면 비트 코인 30억을 보내라는 협박 메일을 관계자한테 보냈다. 인터파크가 개인정보 유출에 관하여 확실하게 확인한 시기는 7월 11일이었고 경찰에 신고한 후 이를 외부에 알리기까지는 2주의 시간이 더 늦어졌다. 결국, 사건은 7월 25일 홈페이지에 해킹당한 사실을 공지하면서 인터파크 해킹 사고의 서막이 본격적으로 올라갔다.
인터파크는 인터넷 테마 파크의 줄임말로 정식 명칭은 주식회사 인터파크다. 1995년 11월에 출범하여 이듬해 6월 1일 인터넷 쇼핑몰을 개설했다. 경기도 파주에 물류센터를 설립하여 도서 및 화장품 무료 배송 서비스를 시작하였으며 그 해 10월에는 인터넷안전결제(ISP)를 시행했다.[1] 인터파크는 쇼핑, 도서, 여행 상품, 음반, 전자제품, 패션 뷰티 상품 등 다양한 제품을 판매하고 있으며 그 중 공연티켓 같은 경우 다른 곳 보다 거의 독점적 지위를 가지고 있다. 공연 정보 등 공연에 관한 커뮤니티도 어느 정도 잘되어 있는 편이어서 공연 티켓을 사려는 회원들의 정보만으로도 상당할 것으로 생각된다. 더불어 2000년에는 온라인 쇼핑 시장에서 국내 1위에 오르기도 했으며 도서 무료 배송 서비스, 중고몰 전문 사이트 헌책방 등 온라인에서 가능한 모든 사업 영역을 넓혀가며 국내 온라인 시장에서 상당한 영향력을 가지고 있는 기업이다.
국내 전자 상거래 업종에서도 상위권에 차지하고 있던 인터파크 명성에 맞게 유출된 개인정보의 양도 상당하다. 2016년 5월 3일 익명의 해커 조직은 직원의 메일을 통해 내부망으로 침입한다. 직원은 경영관리직무를 하는 직원으로 개인포털사이트의 이메일 ID와 비밀번호를 알아낸 후, 동생과 주고받았던 메일의 내용을 보고 이를 통해 동생을 사칭하여 메일을 보낸 것으로 알려졌다. 메일의 내용은 가족사진으로 화면 보호기를 만들었으니 열어보라는 메시지와 함께 악성코드가 감염된 첨부 파일을 열어보도록 유도했다. 직원은 사무실에서 첨부 파일을 실행하였고 곧바로 PC는 감염되었다.[2] 해커 조직은 이렇게 직원의 PC를 장악한 후, 내부망으로 연결된 다른 PC를 감염시키면서 영역을 넓혀갔다. 다른 PC를 감염시키며 정보를 수집하고 회원의 개인정보가 담긴 데이터베이스 서버에 접근이 가능한 개인정보취급자의 PC를 감염시켜 제어권을 획득했다. 이렇게 감염시킨 개인정보취급자의 PC를 통해 데이터베이스에 접근한 후, 개인정보를 탈취하여 파일을 16개로 나누어 외부로 몰래 유출하였다.[3] 이러한 과정까지 해커들은 3일의 시간이 소요되었고 7월 4일부터 13일까지 34통의 협박 메일이 인터파크 임원에게 보내졌다.[4] 해커 조직은 인터파크에 30억 원의 비트코인을 요구하였고 이를 받아들이지 않으면 자신들이 해킹했다는 사실을 공개할 것이라고 말했다.[5]
인터파크는 이러한 사실을 11일 오후 늦게 확인하였고 12일 점심 경에 경찰에 전화하여 상황을 알리고 신고를 했다. 이후 13일 오전 경찰청을 찾아 조서를 쓰면서 사건을 접수했다고 인터파크 관계자는 말했다. 하지만 인터파크가 25일에 낸 입장 자료를 보면 해킹으로 고객 정보가 침해당한 것을 확인하고 즉시 경찰청에 신고하여 공조를 시작했다고 작성하였다. 즉, 인터파크는 사고가 일어난 지 확인하고 이틀 뒤인 13일에 신고한 것이다.[6]
이메일에 첨부된 파일은 ‘우리가족abcd.scr’ 파일이었다. 파일은 크게 3가지 단계로 실행이 된다. 먼저 ‘우리가족abcd.scr’이 실행이 되면 특정 경로에 ‘msoia.exe’ 파일과 ‘우리가족.abcd.scr’과 같은 파일명으로 내용은 전혀 다른 파일을 생성하고 실행시킨다. 여기서 생성되고 실행되는 msoia.exe파일은 다시 특정 경로에서 ‘ielowutil.exe’파일을 생성하고 실행시키며 이 파일은 공격자의 서버와 통신을 시도하는 백도어 같은 역할을 한다. 이 파일을 통해 연결이 이루어지면 공격자의 명령코드를 받아서 악성 행위를 한다. 이렇게 순차적으로 파일이 생성되고 실행되는 동안 사용자의 화면에는 실제로 화면보호기가 실행되어 사용자가 악성코드에 감염되었다는 사실을 인지하지 못하도록 한다. 더욱이 ‘.scr’이라는 파일 확장자명은 화면보호기 파일로 사용자의 의심을 좀 더 거둘 수 있다. 하지만 프로세스를 통해 확인하면 해당 파일이 실행되고 ielowutil.exe파일까지 실행되고 있는 것을 확인할 수 있다. [7]
여기서 사용되는 악성코드의 가장 핵심 파일은 ‘ielowutil.exe’파일이다. 이 파일을 좀 더 살펴보면 먼저 해커와 통신할 수 있도록 온두라스, 대만, 뉴질랜드의 서버로 SSL 통신을 시도한다. 이 파일을 통해 공격자와 연결이 되고 공격자는 이를 통해 공격 명령을 내린다. 이 파일을 통해 공격자는 10가지의 공격명령을 내릴 수 있으며 자신이 상주하고 있는 PC에 대한 정보, 자신을 삭제하거나 종료시키는 명령 등이 포함되어 있다.[8]<title="">
이 해킹 사고의 원인은 인터파크의 허술한 개인정보 보안 관리를 원인으로 보고 있다. 특히나 허술한 망 분리, 이상 징후 탐지 능력 부실 등 이러한 부분이 이번 해킹 사건의 가장 큰 원인으로 보고 있다. 더군다나 최근 들어 기업을 겨냥한 해킹 사건이 늘어나는 추세라 이러한 시기와 맞물려 생겨난 문제라며 보안 전문가들은 답했다. 해커 조직이 가져간 개인정보는 전체 회원 40%에 해당하며 이는 상당한 크기의 데이터로 이 데이터가 유출되는 동안 감지하지 못한 것은 보안 시스템이 제대로 작동하지 않았다는 것과 같음을 얘기했다. 즉, 이러한 네트워크 상황을 제대로 모니터링하지 못한 점은 업무를 소홀히 했다는 지적을 피하기 어렵다. 또 다른 이유로는 회사에 내, 외로 망분리는 되어 있지만 대부분 직원이 내부망과 외부망의 구분 없이 자유롭게 넘나들며 데이터에 접근할 수 있었다는 것이다. 이렇게 무의미한 망 분리를 통해 악성코드는 쉽게 내부망으로 들어갈 수 있었다. 개인정보 암호화에 대해서도 문제가 되었다. 인터파크의 개인정보 암호화 관리는 한 개인의 정보를 모두 암호화한 것이 아니라 비밀번호, 주민등록번호, 금융정보같이 일부 회원 정보만 암호화하여 저장했다. 이는 전면적으로 암호화를 한 것이 아니라 최소한의 정보만 암호화한 것으로 법에 걸리지 않는 한에서 적당하게 보안 처리만 한 기업의 타산적인 보안 의식도 하나의 원인으로 보고 있다.
이에 대해 한 보안 업계 관계자는 개인 정보 일부만 암호화할 것이 아니라 전면적인 암호화의 필요성에 대해 말을 했다. 국내 회원 가입 시에 기재되는 이메일, 유출된 주소, 이름만 있어도 국내에서 특정 사람을 찾는데 문제가 없다. 그런 의미로 회원의 전체 개인정보를 암호화해야 한다는 말이다. 두 번째로 최근 들어 이같이 APT 공격 같은 지속적이고 전방위적으로 이뤄지는 공격을 예방하려면 대응 인력 확보가 중요하다는 것이다. 즉, 전방위적인 APT 공격은 일반적인 보안 솔루션으로 탐지하기에는 한계가 있으며 다른 유명 외국기업처럼 보안 전문 인력이 다수 상주하여 새로운 공격을 탐지하고 점검해 나가야 한다고 말했다. 마지막으로 정부에서도 IT인력이 이런 보안 차원에서 기업체가 투자할 수 있도록 제도를 제정해 나가야 한다고 덧붙였다. 인터파크는 분명 암호화를 하였지만 법에 준수한 정도 한에서만 암호화를 적용하였다. 언제 투자한 만큼의 효과를 볼 지, 그것을 볼 수 없는 보안에 많은 투자를 하기 만무하다. 결국, 사건이 터지더라도 어느정도 넘어갈 수 있을 정도의 보안 수준만 유지한다는 것이다. 결국, 한마디로 보안의식을 강화되어야 하는 법이 제정되어야 한다.
이번 사건에 대해 경찰은 이 사건의 배후가 북한에 있다고 판단을 내렸다. 북한이 국가적으로 외화벌이가 어려워지자 해킹으로 금전적 이익을 얻으려 했던 것을 원인으로 보고 있다. 경찰은 해킹에 쓰인 경유지 세 개국 중 4개의 IP가 과거 북한이 했던 해킹 사건에 쓰였던 IP와 일치하고 이번 사건에서 사용했던 악성코드가 북한에서 자주 사용하는 공격패턴인 것을 고려할 때 북한의 소행으로 판단을 내렸다. 과거 북한의 해킹 사건에서 발견된 체신성 IP는 2009년 청와대 등 정부 기관, 금융사, 포털 사이트를 공격한 7.7 분산 서비스 공격, 2012년 중앙일보 전산망 해킹 사건, 2013년 청와대 국무조정실 홈페이지 등을 공격한 IP와 일치하다. 더불어, 이번에 사용된 악성코드도 북한의 악성코드제작 방식이나, 코드를 저장하는 위치, 악성코드가 자동으로 생성되는 파일명 등이 일치하는 등 과거 체신성 해킹 사건에 쓰인 악성코드와 굉장히 유사하다. 이러한 부분은 같은 배후의 인물이 아니고서야 이렇게 유사할 수가 없다며 체신성의 배후가 아닌 다른 사람의 공격이 이렇게 중복될 수 없을 것이라고 경찰 관계자는 말했다. 배후를 북한으로 보는 또 다른 이유는 해커 조직이 보낸 협박 이메일 총 34건 중 1건의 이메일에서 ‘총적으로 쥐어짜면’이라는 ‘총체적’의 북한식 표현이 쓰인 점에서도 북한의 소행임을 뒷받침하는 근거로 보고 있다.
이러한 경찰의 판단을 허술한 변명거리로 보는 이들도 있다. 올해 야후의 해킹사건에서도 야후는 국가적 지원을 받고 있는 해커의 소행이라는 말을 언뜻 내비쳤다. 그런 의미로 국가의 지원을 받는 해커소행은 이 사건의 책임을 회피할 수 있는 좋은 핑곗거리라는 것이다. 또한, 몇몇 사람들은 이번 사건의 배후가 북한이라는 기사를 보고 또 북한이냐는 반응을 보이며 불신의 눈초리를 보내는 이들도 있다. 북한의 소행임이 밝혀졌어도 이렇다 할 대처도 없고 보호, 방어는 물론 개선의 여지도 없어 오히려 국가의 신뢰감이 떨어진다는 이들도 있다.
2부 보러가기
