미래창조과학부와 방송통신위원회는 31일 ‘민·관 합동조사단’의 조사결과를 발표하며 이같이 밝혔다.
해커는 최초 스피어피싱으로 인터파크 한 직원의 PC에 악성코드를 심는데 성공했다. 스피어피싱은 특정 개인이나 기관을 겨냥해 작살을 던지듯 하는 해킹 공격을 의미한다. 직원의 정보를 미리 염탐하고 당사자가 믿을 수 있도록 지인이나 거래처를 사칭하는 이메일을 보내 악성 코드 파일을 열게 하는 수법이 대표적이다.
이번 인터파크 해킹 공격에서도 이 방식으로 악성코드가 심어져 사내 다수 전산 단말기에 퍼졌다. 해커는 고객 개인정보 데이터베이스 서버를 관리하는 ‘개인정보 취급자 PC’의 제어권을 탈취해 개인정보를 빼돌렸다고 미래부와 방통위가 설명했다.
이번 조사결과는 경찰청 사이버안전국과 정부 합동조사팀이 지난달 말 발표한 수사 결과와 같다. 당시 경찰은 해커가 인터파크의 한 직원에 대한 사전 정보를 수집하고 직원의 동생을 사칭한 이메일로 악성코드를 심어 회사 내부망에 침투했다고 밝힌 바 있다.
또 미래부와 방통위는 이번 인터파크 해킹 사건으로 개인정보 유출 피해를 본 건수는 모두 1,094만여 건에 이른다고 밝혔다. 이들은 아이디와 암호화된 비밀번호, 휴대전화 번호, 주소 등의 개인정보가 유출되는 피해를 봤다.
/김영준인턴기자 gogundam@sedaily.com
