인터파크 해킹으로 고객 정보 유출된 이유와 원인

논리적 망분리 부실. 총 2,666만건 유출,
DB 써버 접근통제 실패가 문제키워

인터파크 일반회원 1천만여건의 개인정보와 함께 탈퇴회원, 휴면회원 등을 합쳐 2천 666만여건이 유출된 해킹사건은 논리적 망분리 허술과 DB 써버에 대한 접근통제 실패로 벌어진 일인 것으로 결론났다.

공격자들은 직원의 PC에 여동생을 사칭한 스피어 피싱을 보내 악성코드에 감염시킨뒤 여러 임직원들이 파일을 주고 받는 용도로 쓰는 파일공유 써버를 추가로 감염시켰다. 이곳에서 다른 임직원들의 PC에 접근하기 위해 임의 비밀번호를 하나씩 입력해 보는 무차별 대입공격을 수행했다. 이를 통해 확보한 정보로 파일공유 써버와 연결된 개인정보 취급자 PC를 조작했다.

문제는 공격자들이 이 과정에서 개인정보 취급자 PC가 개인정보들이 담긴 DB 써버에 접속한 상태로 계속 유지되고 있었다는 점을 악용했다는 사실이다. 해당 담당자가 접속한 뒤에 일정시간 동안 별다른 업무를 보고 있지 않다면 DB 써버와의 접속을 종료해야하지만 이런 부분이 제대로 작동하지 않았다는 분석이다.

유출된 회원정보 수는 인터파크 회원뿐 아니라 제휴사, 탈퇴회원, 휴면회원 등이 포함된 수치다. 또 이름, 전화번호, 이메일, 주소 등 상세한 정보가 유출된 경우도 있으며, 경우에 따라 아이디만 유출된 사례도 있다. 아울러 이 수치에는 중복된 정보도 있을 것으로 조사단은 파악하고 있다.

개인정보 취급자의 PC가 악성코드에 감염됐던 것은 아니지만 공격자들은 이와 연결된 파일공유 써버를 장악한 상태에서 해당 PC가 DB 써버와 접속이 이뤄진 상태로 유지되고 있었다는 점을 악용했고, 써버 접근통제를 제대로 하지 않았던 탓에 개인정보 취급자의 PC를 악성코드에 감염시키지 않았는데도 불구하고 이 PC가 DB 써버와 연결이 됐을 때 몰래 정보를 빼낼 수 있었다는 뜻이다.

인터파크는 인터넷망과 자주 연결돼야한다는 업무 특성상 아예 PC 두 대를 쓰는 물리적 망분리 대신 논리적 망분리를 선택했다. 그러나 이 회사는 업무용 PC라고 하더라도 기본적으로 인터넷 연결이 가능한데다가 개인정보 취급자 PC로 개인정보가 담긴 DB 써버에 접속할 때만 해당 써버를 가상화하는 방법을 적용했다.

공격자들은 이렇게 유출한 개인정보를 바로 외부로 유출시키는 대신 개인정보 취급자가 관리하는 웹 써버를 거쳐 개인정보 취급자 PC로 전송하고 해당 파일들을 다시 또 다른 직원의 PC와 연결된 인터넷망을 통해 외부로 빼내갔다.

기본적인 망분리는 돼있다보니까 공격자들이 DB 써버에서 개인정보 취급자 PC로 바로 파일을 전송할 수가 없는 탓에 웹 써버로 우회하는 방법을 썼다. 인터넷과 연결되는 업무가 많으면서도 수많은 개인정보를 다루는 인터넷 쇼핑몰 등 사업자들에게 적용할 수 있는 보다 지능화된 망분리나 정교한 써버 접근통제가 이뤄져야할 것으로 전망된다.

지디넷 / 손경호, 백봉삼 기자