인터파크에 `표적형 공격`... 보안체계 `허술` 의혹

인터파크에 특정 표적을 노린 지능형지속위협(APT) 공격이 이뤄진 것으로 분석된다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

26일 인터파크에 따르면 회사에 행해진 APT는 해킹 그룹이 표적으로 삼은 직원 한 명의 개인 메일을 초기 침투 경로로 활용했다. 회사 계정이 아닌 외부 사이트를 통해 메일을 확인하는 과정에서 악성코드 감염이 이뤄졌다.

해당 직원이 평소 자주 이메일을 주고받는 대상과 그 메일 형식·제목으로 위장해 악성코드 첨부 메일을 보낸 것으로 파악됐다. 개인 메일함을 분석해 공격 대상 관련 정보를 수집한 것으로 추정된다. 1차 침투에 성공한 이후에도 한 달 이상 직원 PC에 잠복하며 사용자 이용패턴과 업무 등을 파악한 후 활동에 들어갔다.

인터파크 관계자는 “정교한 위장으로 누구라도 100% 메일을 열어볼 수밖에 없는 익숙한 형태”라고 강조했다. 그는 “이메일 보안과 DB 접근제어 등 동종 업계 평균 수준 이상의 보안 수준을 갖췄다”면서도 “타 사이트와 협력·호환이 많고 외부 포털 등을 다 막을 수 없어 외부 사이트에서 개인 메일을 확인하는 과정에 감염된 것으로 보인다”고 덧붙였다.

인터파크 해킹으로 1030만면에 달하는 고객정보가 유출됐다.
인터파크 해킹으로 1030만면에 달하는 고객정보가 유출됐다.

방어하기 어려운 APT 공격이 이뤄졌다지만 대규모 고객정보 유출을 허용한 보호체계에 대해선 다양한 의문이 제기된다.

우선 이메일 보안 솔루션 도입 여부다. 이메일을 APT 공격 시발점으로 활용한 2014년 한수원 해킹 사건과 올해 초 청와대 사칭 이메일, 240억원 규모 대기업 이메일 스캠, 랜섬웨어 등으로 국내 많은 기업·기관이 앞 다퉈 이메일 보안 솔루션을 도입했기 때문이다.

인터파크 개인정보 침해 사고 사과문
인터파크 개인정보 침해 사고 사과문

망분리 역시 논란거리다. 방송통신위원회가 고시한 `개인정보의 기술적·관리적 보호조치 기준`에 따르면 개인정보처리시스템에서 개인정보에 접근 가능한 개인정보취급자 컴퓨터 등은 물리적 또는 논리적으로 망분리를 해야 한다. 외부 사이트에 접속 가능한 PC가 감염돼 개인정보가 담긴 DB서버까지 해킹됐다는 것은 망분리가 제대로 안됐다는 의미다.

과도한 DB 접속에 따른 이상행위 탐지 여부도 의문이다. 설사 DB 관리자 PC 제어권을 탈취당하더라도 대규모 고객정보를 빼가기 위해서는 평소와 다른 DB 접속이 발생한다. 이상행위 탐지에 따른 보호조치가 이뤄져야 했다.

김승주 고려대 정보보호대학원 교수는 “알려진 바로는 과거 사고사례를 반면교사 삼아 숙지했다면 대응 가능했을 사안”이라며 “사고 당한 사실과 공격 경로 등을 적극적으로 공유해 배우고 보완해야 하는 이유”라고 말했다.

박정은기자 jepark@etnews.com