인터파크 개인정보 해킹 사건, 현재까지 정보에 의한 범죄의 재구성
페이지 정보
작성자 최고관리자 작성일16-09-07 17:30 조회1,792회관련링크
본문
인터넷 쇼핑몰 ‘인터파크’가 25일 1030만명의 고객 개인정보가 악성 해커의 APT 공격에 의해 유출된 사실을 공지한 이후 인터파크는 여론의 뭇매를 맞고 있다. 인터파크 이용자들은 집단소송도 준비중이다.
국민들은 2011년 SK컴즈에서 운영하는 네이트와 싸이월드 회원 3천500만명 개인정보 유출 사건 이후 2014년 발생한 KB국민카드, NH농협카드, 롯데카드 등 카드 3사에서 1억580만명의 고객 개인정보가 유출된 사건을 지켜보면서 이제는 좀 바뀌겠지 했지만, 이번에 또 다시 대형 개인정보 유출 사고가 터진 것에 더 이상 할 말이 없다는 반응들이다.
이번 사고는 무엇이 문제였을까. 정부의 보안정책에 문제가 있었을까. 인터파크의 정보보호 의지와 투자가 미비해서 였을까. 아니면 최선을 다했지만 불가항력의 해킹 공격 때문이었을까. 지금까지 밝혀진 정보로 재구성을 해보자.
◇지금까지 확인된 정보로 구성한 인터파크 해킹범죄의 재구성
2016년 5월, 인터파크 모 직원은 업무시간에 사내 PC를 사용해 네이버 웹메일을 통해 자신의 동생메일주소로 발송된 메일 한 통을 수신한다. 메일을 열어보니 스크린세이버(화면보호기) 파일이 첨부돼 있었다. 그것도 ‘우리가족’이라는 파일명으로 돼 있어 의심없이 파일을 다운로드 한다.
하지만 문제의 웹메일을 발송한 자는 다름 아닌 인터파크를 해킹한 사이버 범죄자였다. 공격자는 해당 직원의 메일에서 동생 메일주소까지 알아낸 후 동생 메일 주소로 해당 직원에게 악성파일을 전송한 것이다. 최근 이슈가 되고 있는 ‘스피어 피싱’에 속절없이 당하고 만 것이다.
해당 직원이 스크린세이버(우리가족.abcd.scr)를 다운로드 하면서 동시에 PC에는 ‘ielowutil.exe’ 악성파일이 설치된다. 이 악성파일은 공격자의 명령제어 서버와 통신 역할을 하게 된다.
참고로 현재 해당 파일을 안랩 V3는 ‘Trojan/Win32.FakeMS’로 시만텍은 ‘Backdoor.Trojan’으로 진단하고 있다. 또 ‘우리가족.abcd.scr’ 파일에 대해 안랩 V3는 ‘Dropper/Win32.Agent’로 진단하고 있고 트랜드마이크로는 ‘WORM_STRAT.GEN-3’로 진단하고 있다.
당시 직원 PC에 악성파일이 유입된 것을 시작으로 1030만명의 개인정보 유출 사고가 발생하게 된다. 현재 이후 구체적인 공격작업 과정은 어떤 경로를 통해 이루어졌는지 경찰이 수사를 진행하고 있다.
◇공격 작업에 사용된 IP
수사과정에서 밝혀진 공격자 IP는 명령제어 서버와 관련된 TCP/443포트를 이용한 IP 3개가 발견됐다.
◇인터파크, APT 장비와 망분리를 적용하고 있었다곤 하지만
인터파크는 글로벌 유명 APT 전용 장비를 도입해 사용하고 있었다. 인터파크 관계자는 망분리도 적용하고 있었다고 말한다.
한편 인터파크가 사용한 APT 전용장비는 탐지와 차단 모드로 운영이 가능하다. 하지만 해당 장비에서 악성코드 유입을 탐지하고 위협경고를 했었는지 혹은 장비에서 위협경고가 있었음에도 불구하고 인터파크 측에서 패스했는지는 아직 불분명한 상황이다. APT 장비업체 관계자에게 확인해 봤지만 현재 수사가 진행중이라 답변을 할 수 없다며 조심스러워 한다. 경찰과 업체 조사에 최대한 협조를 하고 있다고 전했다.
또 문제는 인터파크는 PIMS(개인정보보호 관리체계) 인증을 지난 2015년 4월 30일 발급받은 상황이다. 2018 년 4월 29일까지 유효하다. PIMS 인증을 받기 위해서는 망분리가 되어 있어야 가능하다. 그럼에도 불구하고 해당 직원이 사내 PC로 웹메일을 사용했다는 점은 망분리가 제대로 이루어지지 않았다는 지적을 받을 수 있다.
모 기업 보안담당자는 “망분리를 적용하고 있는 기업들 중 많은 기업들이 인증 받을 때만 적용하고 실제로 사업부나 경영진에서 운영상 불편함을 토로하며 망분리를 풀어달라는 압박을 많이 하고 있다. 이때 보안팀이 힘이 없는 경우 어쩔 수 없이 망분리를 풀어주는 경우가 발생한다. 이럴 때 문제가 발생할 수 있다”고 현업 보안담당자의 어려움을 말한다. 만약 이런 문제로 인해 인터파크가 망분리를 제대로 적용하지 않았다면 경영진의 책임이 크다는 지적이다.
또 DB접근제어 등 DB보안 솔루션을 제대로 운영하지 않았다는 지적도 크다. 1030만건이라는 대량의 DB가 유출되는 동안 DB유출에 대한 어떠한 경고메시지나 모니터링이 제대로 이루어지지 않았다는 것에 대해 기업 보안 담당자들의 반응은 ‘이해할 수 없는 부분’이라는 반응들이다. 이상 징후에 대한 모니터링 시스템이 제대로 작동하지 않았다고 추정할 수 있다.
◇이번 사고의 안타까운 점들
이번 인터파크 사고를 보면서 보안담당자들은 ‘우리도 저렇게 당할 수 있다’는 두려움과 함께 몇가지 사안은 좀 이해가 안간다는 반응들을 보였다.
우선 임직원이 사내 PC로 개인적인 프로그램을 다운로드 할 수 있게 허용했다는 점이다. 이로 인해 공격자가 쉽게 사내 PC를 장악할 수 있게 된 단초를 제공한 것이다. 망분리를 제대로 적용하지 못하고 있었다는 것으로 추측할 수 있다. 또 APT 장비를 사용했음에도 불구하고 이상 징후 탐지와 전수조사가 이루어 지지 않았다는 점이다. 솔루션 도입만 하면 되는 것이 아니라 이를 얼마나 잘 활용하느냐가 관건이란 것을 보여주는 사례로 기억될 수 있다. 또 DB보안에 대한 보다 철저한 접근제어와 이상징후 모니터링이 이루어지지 않았다고 볼 수 있다.
인터파크 보안팀은 8명 정도이며 외주 직원까지 합하면 15명 정도다. 동종업계에 비하면 그리 작은 인원도 아니다. 다양한 공격 시나리오에 대한 실전 훈련이 부족했을까. 아니면 경영진의 정보보안 인식 부족이었을까. APT 장비도 도입하고 망분리도 했다고 하고 PIMS 인증도 받았다는 인터파크가 해킹공격에 당하고 말았다. 그것도 공격자가 알려줘서 해킹을 당한 사실을 알게 됐다. 안타까운 우리 기업들의 보안현실이 이번 사건에 상당부분 묻어나고 있다.
국민들은 2011년 SK컴즈에서 운영하는 네이트와 싸이월드 회원 3천500만명 개인정보 유출 사건 이후 2014년 발생한 KB국민카드, NH농협카드, 롯데카드 등 카드 3사에서 1억580만명의 고객 개인정보가 유출된 사건을 지켜보면서 이제는 좀 바뀌겠지 했지만, 이번에 또 다시 대형 개인정보 유출 사고가 터진 것에 더 이상 할 말이 없다는 반응들이다.
이번 사고는 무엇이 문제였을까. 정부의 보안정책에 문제가 있었을까. 인터파크의 정보보호 의지와 투자가 미비해서 였을까. 아니면 최선을 다했지만 불가항력의 해킹 공격 때문이었을까. 지금까지 밝혀진 정보로 재구성을 해보자.
◇지금까지 확인된 정보로 구성한 인터파크 해킹범죄의 재구성
2016년 5월, 인터파크 모 직원은 업무시간에 사내 PC를 사용해 네이버 웹메일을 통해 자신의 동생메일주소로 발송된 메일 한 통을 수신한다. 메일을 열어보니 스크린세이버(화면보호기) 파일이 첨부돼 있었다. 그것도 ‘우리가족’이라는 파일명으로 돼 있어 의심없이 파일을 다운로드 한다.
하지만 문제의 웹메일을 발송한 자는 다름 아닌 인터파크를 해킹한 사이버 범죄자였다. 공격자는 해당 직원의 메일에서 동생 메일주소까지 알아낸 후 동생 메일 주소로 해당 직원에게 악성파일을 전송한 것이다. 최근 이슈가 되고 있는 ‘스피어 피싱’에 속절없이 당하고 만 것이다.
해당 직원이 스크린세이버(우리가족.abcd.scr)를 다운로드 하면서 동시에 PC에는 ‘ielowutil.exe’ 악성파일이 설치된다. 이 악성파일은 공격자의 명령제어 서버와 통신 역할을 하게 된다.
참고로 현재 해당 파일을 안랩 V3는 ‘Trojan/Win32.FakeMS’로 시만텍은 ‘Backdoor.Trojan’으로 진단하고 있다. 또 ‘우리가족.abcd.scr’ 파일에 대해 안랩 V3는 ‘Dropper/Win32.Agent’로 진단하고 있고 트랜드마이크로는 ‘WORM_STRAT.GEN-3’로 진단하고 있다.
당시 직원 PC에 악성파일이 유입된 것을 시작으로 1030만명의 개인정보 유출 사고가 발생하게 된다. 현재 이후 구체적인 공격작업 과정은 어떤 경로를 통해 이루어졌는지 경찰이 수사를 진행하고 있다.
◇공격 작업에 사용된 IP
수사과정에서 밝혀진 공격자 IP는 명령제어 서버와 관련된 TCP/443포트를 이용한 IP 3개가 발견됐다.
◇인터파크, APT 장비와 망분리를 적용하고 있었다곤 하지만
인터파크는 글로벌 유명 APT 전용 장비를 도입해 사용하고 있었다. 인터파크 관계자는 망분리도 적용하고 있었다고 말한다.
한편 인터파크가 사용한 APT 전용장비는 탐지와 차단 모드로 운영이 가능하다. 하지만 해당 장비에서 악성코드 유입을 탐지하고 위협경고를 했었는지 혹은 장비에서 위협경고가 있었음에도 불구하고 인터파크 측에서 패스했는지는 아직 불분명한 상황이다. APT 장비업체 관계자에게 확인해 봤지만 현재 수사가 진행중이라 답변을 할 수 없다며 조심스러워 한다. 경찰과 업체 조사에 최대한 협조를 하고 있다고 전했다.
또 문제는 인터파크는 PIMS(개인정보보호 관리체계) 인증을 지난 2015년 4월 30일 발급받은 상황이다. 2018 년 4월 29일까지 유효하다. PIMS 인증을 받기 위해서는 망분리가 되어 있어야 가능하다. 그럼에도 불구하고 해당 직원이 사내 PC로 웹메일을 사용했다는 점은 망분리가 제대로 이루어지지 않았다는 지적을 받을 수 있다.
모 기업 보안담당자는 “망분리를 적용하고 있는 기업들 중 많은 기업들이 인증 받을 때만 적용하고 실제로 사업부나 경영진에서 운영상 불편함을 토로하며 망분리를 풀어달라는 압박을 많이 하고 있다. 이때 보안팀이 힘이 없는 경우 어쩔 수 없이 망분리를 풀어주는 경우가 발생한다. 이럴 때 문제가 발생할 수 있다”고 현업 보안담당자의 어려움을 말한다. 만약 이런 문제로 인해 인터파크가 망분리를 제대로 적용하지 않았다면 경영진의 책임이 크다는 지적이다.
또 DB접근제어 등 DB보안 솔루션을 제대로 운영하지 않았다는 지적도 크다. 1030만건이라는 대량의 DB가 유출되는 동안 DB유출에 대한 어떠한 경고메시지나 모니터링이 제대로 이루어지지 않았다는 것에 대해 기업 보안 담당자들의 반응은 ‘이해할 수 없는 부분’이라는 반응들이다. 이상 징후에 대한 모니터링 시스템이 제대로 작동하지 않았다고 추정할 수 있다.
◇이번 사고의 안타까운 점들
이번 인터파크 사고를 보면서 보안담당자들은 ‘우리도 저렇게 당할 수 있다’는 두려움과 함께 몇가지 사안은 좀 이해가 안간다는 반응들을 보였다.
우선 임직원이 사내 PC로 개인적인 프로그램을 다운로드 할 수 있게 허용했다는 점이다. 이로 인해 공격자가 쉽게 사내 PC를 장악할 수 있게 된 단초를 제공한 것이다. 망분리를 제대로 적용하지 못하고 있었다는 것으로 추측할 수 있다. 또 APT 장비를 사용했음에도 불구하고 이상 징후 탐지와 전수조사가 이루어 지지 않았다는 점이다. 솔루션 도입만 하면 되는 것이 아니라 이를 얼마나 잘 활용하느냐가 관건이란 것을 보여주는 사례로 기억될 수 있다. 또 DB보안에 대한 보다 철저한 접근제어와 이상징후 모니터링이 이루어지지 않았다고 볼 수 있다.
인터파크 보안팀은 8명 정도이며 외주 직원까지 합하면 15명 정도다. 동종업계에 비하면 그리 작은 인원도 아니다. 다양한 공격 시나리오에 대한 실전 훈련이 부족했을까. 아니면 경영진의 정보보안 인식 부족이었을까. APT 장비도 도입하고 망분리도 했다고 하고 PIMS 인증도 받았다는 인터파크가 해킹공격에 당하고 말았다. 그것도 공격자가 알려줘서 해킹을 당한 사실을 알게 됐다. 안타까운 우리 기업들의 보안현실이 이번 사건에 상당부분 묻어나고 있다.