인터파크 일반회원 1천만여건의 개인정보와 함께 탈퇴회원, 휴면회원 등을 합쳐 2천665만여건이 유출된 해킹사건은 논리적 망분리 허술과 DB서버에 대한 접근통제실패로 벌어진 일인 것으로 결론났다.
31일 미래창조과학부, 방송통신위원회가 민관합동조사단을 통해 지난 5월3일~5월6일까지 발생한 인터파크 해킹사건을 분석한 결과를 이 같이 밝혔다.
공격자들은 직원A의 PC에 여동생을 사칭한 스피어피싱을 보내 악성코드에 감염시킨 뒤 여러 임직원들이 파일을 주고 받는 용도로 쓰는 파일공유서버를 추가 감염시켰다. 이곳에서 다른 임직원들의 PC에 접근하기 위해 임의 비밀번호를 하나씩 입력해 보는 무차별대입공격을 수행했다. 이를 통해 확보한 정보로 파일공유서버와 연결된 개인정보취급자PC를 조작했다.
문제는 공격자들이 이 과정에서 개인정보취급자PC가 개인정보가 담긴 DB서버에 접속한 상태로 계속 유지되고 있었다는 점을 악용했다는 사실이다. 해당 담당자가 접속한 뒤에 일정시간 동안 별다른 업무를 보고 있지 않다면 DB서버와 접속을 종료해야하지만 이런 부분이 제대로 작동하지 않았다는 분석이다.
미래부 사이버침해대응과 관계자는 "개인정보취급자의 PC가 악성코드에 감염됐던 것은 아니지만 공격자들은 이와 연결된 파일공유서버를 장악한 상태에서 해당 PC가 DB서버와 접속이 이뤄진 상태로 유지되고 있었다는 점을 악용했다"고 설명했다. 서버접근통제를 제대로 하지 않았던 탓에 개인정보취급자의 PC를 악성코드에 감염시키지 않았는데도 불구하고 이 PC가 DB서버와 연결이 됐을 때 몰래 정보를 빼낼 수 있었다는 뜻이다.
인터파크는 인터넷망과 자주 연결돼야한다는 업무 특성 상 아예 PC를 두 대를 쓰는 물리적 망분리 대신 논리적 망분리를 선택했다. 그러나 이 회사는 업무용 PC라고 하더라도 기본적으로 인터넷 연결이 가능한데다가 개인정보취급자PC로 개인정보가 담긴 DB서버에 접속할 때만 해당 서버를 가상화하는 방법을 적용했다.
공격자들은 이렇게 유출한 개인정보를 바로 외부로 유출시키는 대신 개인정보취급자가 관리하는 웹서버를 거쳐 개인정보취급자PC로 전송하고 해당 파일들을 다시 또 다른 직원B의 PC와 연결된 인터넷망을 통해 외부로 빼내갔다.
미래부 사이버침해대응과 관계자는 "기본적인 망분리는 돼있다보니깐 공격자들이 DB서버에서 개인정보취급자 PC로 바로 파일을 전송할 수가 없는 탓에 웹서버로 우회하는 방법을 썼다"고 말했다.
인터파크 해킹이 치밀하고, 집요한 분석을 통해 이뤄진 지능형 공격이라는 점에는 변함이 없다. 그럼에도 불구하고 인터넷과 연결되는 업무가 많으면서도 수많은 개인정보를 다루는 인터넷 쇼핑몰 등 사업자들에게 적용할 수 있는 보다 지능화된 망분리나 정교한 서버접근통제가 이뤄져야할 것으로 전망된다.
망분리된 환경에서 해킹사고를 당했던 한국수력원자력은 최근 한국전자통신연구원(ETRI)과 모바일컨버전스가 공동으로 개발한 'TIPN'이라는 논리적 망분리 기술을 도입했다. 외부 인터넷과 접속할 수 있게 허용하되 네트워크 가상화 기술을 활용해 각 사용자나 업무마다 다른 곳에서 접속할 수 없는 개별적인 네트워크를 구성하는 방법을 썼다. 개인정보가 담긴 DB서버에는 미리 설정한 권한이 있는 단말기로만 접속을 허용한다.
관련기사
- 방통위, ‘개인정보 유출 대응 매뉴얼’ 확정2016.08.31
- 인터파크 해킹..."메일로 직원PC 감염, 개인정보 털었다"2016.08.31
- 인터파크 해킹이 기업 보안에 던진 메시지2016.08.31
- 경찰-정부합동조사팀 "인터파크 해킹 北 소행 판단"2016.08.31
각각 네트워크가 개별적으로 운영되기 때문에 인터파크 해킹 사건에서처럼 내부망에서 공격자가 파일공유서버를 통해 개인정보취급자PC와 연결을 시도한다고 하더라도 별도 네트워크로 구성된 다른 일반 직원의 PC를 통해 외부로 유출되는 일을 막을 수 있다.
보다 근본적으로는 불편함을 감수하더라도 인터넷망과 내부에서만 쓰는 PC를 분리해서 운영하는 물리적 망분리가 대책이 될 수 있지만 현실적으로 인터넷 서비스 사업자들이 도입하기 쉬운 방안이라고 보기는 어렵다.