[디지털데일리 최민지 기자] 특정 직원을 표적 대상으로 삼아 단 한 대의 PC를 감염시켜 1094만건 이상의 개인정보를 탈취한 인터파크 해킹사건의 전말이 드러났다.

31일 미래창조과학부(이하 미래부)와 방송통신위원회(이하 방통위)는 지난 5월3일부터 6일까지 발생한 인터파크 침해사고 관련 ‘민·관합동조사단(이하 조사단)’의 조사 결과를 발표했다.

이번 조사는 지난달 28 북한 정찰총국 소행으로 판단된다는 인터파크 고객정보 해킹 및 협박사건에 대한 경찰청의 중간 수사 결과 발표와 병행해 사고 대응, 피해 확산 방지 등을 위한 침해사고 원인 분석을 위해 실시됐다.

해커는 인터파크 고객정보 탈취까지 3일밖에 걸리지 않았다. 이번 해킹 사건은 대표적인 지능형지속위협(APT) 사례다.

해커는 스피어피싱으로 직원 PC에 악성코드를 처음으로 감염시키고 다수 단말에 악성코드 확산과 함께 내부정보를 수집했다. 이후 데이터베이스(DB) 서버에 접근 가능한 개인정보취급자PC의 제어권을 획득한 후, DB서버에 접속해 개인정보를 탈취하고 외부로 몰래 유출한 것이다.

지난 3일 오후 4시38분경 해커는 특정 직원의 가족을 사칭해 악성코드가 첨부된 이메일을 발송했다. 평소에 가족 및 지인들과 메일을 자주 주고 받는 경우, 의심 없이 메일을 열고 파일을 다운로드받게 된다. 해커는 이 점을 노리고 한 직원을 타깃으로 삼은 것이다.

결국, 한 시간도 지나지 않아 직원 A는 메일을 열람하고 PC는 악성코드에 감염됐다. 해커는 이 직원의 PC를 경유해 파일공유서버에 접속하고 악성코드를 설치했다. 이 서버를 통해 패스워드 대입공격을 수행하게 된다. 이는 감염을 확산시키고 정보를 수집하기 위해 이뤄졌다.

해커는 다음날인 4일 오후 11시4분경 파일공유서버를 경유해 개인정보취급자 PC로 접속했다. 5일 오전 2시10분경에는 DB서버 접속까지 성공했다. 감염된 직원 B의 PC를 경유해 개인정보취급자 PC 및 DB서버에 재접속한 것으로 확인됐다.

5일 오후 12시8분부터 6일 오전 2시5분까지 해커는 DB서버 개인정보를 탈취하고 웹서버, 취급자 PC, 직원 B의 PC를 거쳐 고객정보를 외부로 유출시켰다.

해커는 패스워드 관리 및 서버 접근통제 관리 등의 취약점을 악용해 인터파크 회원정보 2665만8753건이 보관된 파일을 16개로 분할하고 직원PC를 통해 외부로 유출한 것으로 조사됐다.