국내 대표 온라인 쇼핑몰 인터파크의 가입자 정보가 유출됐다. 새삼스럽지도, 놀랍지도 않은 일이다. 이후 인터파크가 보인 사후처리 과정은 다른 기업의 사례와 100% 일치한다. 사과문 발표와 보안체계 강화를 통한 재발 방지 약속이 이어졌다. 하지만 대다수 국민들은 이 역시 공염불에 그칠 것이라며 불신하고 있다. 대한민국 국민의 소중한 개인정보는 결코 안전할 수 없는 것일까?
지난 7월 말 인터파크에서 개인정보 유출 사고가 터졌다는 소식을 접한 기자는 곧장 사이트에 접속했다. 개인정보 유출 여부를 확인하기 위해서였다. 회원 로그인을 하자 반갑지 않은 글귀가 화면에 등장했다.
‘회원님의 개인정보는 유출된 것으로 확인되었습니다. 유출된 개인정보는 다음과 같습니다.’
이름, 전화번호, 이메일 주소 등 개인정보라고 부를 수 있는 상당수 항목이 표시됐다. 마치 발가벗겨진 것 같은 기분이었다. 기자는 지난 2014년 발생한 카드 3사 개인정보 유출 사고 당시에도 피해를 입었다. 집단소송에 참여했지만, 사고가 발생한 지 2년이 지난 지금까지도 법정공방만 이어질 뿐 명확한 판결은 나오지 않고 있다.
이번 인터파크 사고로 개인정보가 유출된 회원 중 일부는 이미 집단소송을 위한 커뮤니티를 개설해 운영하고 있다. 그들은 모두 늘어나는 스팸 전화와 문자에 골머리를 앓고 있다고 했다. 과연 무엇이 문제였을까? 그리고 진정한 해결책은 없는 것일까? 이를 알아보기 위해서는 우선 이번 인터파크 개인정보 유출 사고를 면밀히 살펴볼 필요가 있다.
지난 2014년 카드3사 개인정보유출 사고 직후, 롯데카드 재발급을 위해 카드센터를 찾은 고객들이 줄지어 순서를 기다리고 있다.인터파크 사태의 A to Z
우선 경찰이 밝힌 인터파크 개인정보 유출 사고 일지를 살펴보자. 지난 7월 11일 인터파크 대표이사에게 한 통의 이메일이 도착한다. 이메일에는 충격적인 내용이 담겨 있었다. 자신들은 해커 조직이며 인터파크 사이트 가입자 1,030만 명의 개인정보를 갖고 있다는 것이었다. 그리고 그들은 해킹 사실을 외부에 공개하지 않는 대가로 온라인 가상화폐인 ‘비트코인(Bitcoin)’ 30억 원을 요구했다. 이메일 내용을 확인한 인터파크 측은 이틀 후인 7월 13일 경찰에 정식 수사를 의뢰한다. 그리고 경찰 수사 시작 이후 13일이 지난 7월 25일 인터파크는 해킹당한 사실을 인정하며 공식 사과문을 발표하기에 이른다.
여기까지가 지금까지 알려진 인터파크 사고의 간략한 일지다. 우선 이 같은 일련의 시간적 흐름에서 짚고 넘어갈 부분이 있다. 여러 정황상 이전에 발생했던 사고들과는 조금 다른 면이 여러 군데서 확인되기 때문이다.
첫 번째는 해킹의 목적이다. 인터파크와 경찰에 따르면 해커 집단은 인터파크와 일종의 ‘금전 거래’를 시도했다. 그동안 발생한 개인정보 유출 사고에서 대다수 해커는 탈취한 개인정보를 암거래 시장을 통해 유통하고, 이를 통해 금전적 이득을 챙겨왔다. 익명을 요구한 보안업계 관계자 A씨는 말한다. “개인정보를 유통하는 브로커들 사이에서는 일종의 ‘정보 등급’이 존재합니다. 예를 들어 이름과 전화번호는 가장 낮은 등급의 정보로 평가되는데, 1건당 약 1~5원 정도에 거래됩니다. 여기서부터 개인정보 한 개가 늘어날수록 등급도 올라가죠. 주민등록번호, 주소, 아이디가 포함된 개인정보는 약 50원에 유통됩니다. 비밀번호, 금융 계좌번호가 포함된 최고 등급의 개인정보는 약 1만~2만원 선에서 거래되는 것으로 알려져 있습니다. 하지만 이 같은 정보 등급은 최근 들어 무의미해지고 있어요. 이미 구글 검색만으로도 이름과 아이디, 전화번호 같은 기본 정보는 충분히 파악할 수 있으니까요.”
이번 인터파크 가입자의 개인정보를 해킹한 해커 집단은 기존 패턴과는 다른 방식으로 금전적 이득을 노렸다. 새로운 범죄유형처럼 보이지만 사실 이번 사례로 인해 수면 위에 떠올랐을 뿐이다. 이 같은 방식은 기존에도 존재해왔다. 바로 ‘랜섬웨어(Ransomware)’ 프로그램을 통한 공격이다.
‘몸값’을 뜻하는 영어 단어 랜섬(Ransom)에서 비롯된 해킹 방식인 랜섬웨어 공격은 쉽게 말해 개인정보나 중요 파일을 볼모로 삼아 몸값을 요구하는 것을 의미한다. 사용자의 이메일, 웹사이트에 잠입해 중요한 내부문서를 암호화한 뒤, 돈을 보내주면 암호를 풀 수 있는 일종의 ‘키’를 전송해주겠다는 방식으로 협박해 금전적 이득을 취하는 방식이다. 보안업계 관계자에 따르면 최근 높은 매출 성장세를 기록하고 있는 중견 온라인 패션몰 B사가 이 같은 랜섬웨어 공격으로 적잖은 타격을 입었다. 패션몰 데이터베이스(DB)를 위탁 관리하는 업체 직원 PC에 랜섬웨어 프로그램을 심은 뒤, 암호화된 DB를 볼모로 수천만 원 수준의 금액을 요구한 것이다. 다행스럽게도 이를 인지한 보안관리자들의 발 빠른 대처로 금전적 피해는 면할 수 있었지만, 그 과정에서 거의 한 달여간 업무에 차질을 빚을 수밖에 없었다.
그렇다면 해커들은 왜 이러한 방식의 공격을 선택하는 것일까? 윤두식 지란지교시큐리티 대표는 말한다. “우선 랜섬웨어 공격은 매우 간편합니다. 단 한 명의 직원이 랜섬웨어 코드가 심어진 메일을 여는 순간 공격이 이뤄지죠. 촘촘한 보안시스템을 구축하지 못한 수많은 중소기업 뿐 아니라 개인 사용자 역시 공격의 타깃이 될 수 있습니다. 또 해커들에게 랜섬웨어 공격은 ‘직거래 공격’으로 불립니다. 별도의 유통망을 거치지 않고도 직접 피해자와의 협상을 통해 금전적 이득을 취할 수 있기 때문이죠. 돈을 목적으로 하는 해커들에게는 더할 나위 없이 좋은 공격 방식이라고 볼 수 있습니다.”
물론 랜섬웨어 공격이 해커들에게 편리한 공격 방식인 만큼, 이를 예방하는 것 역시 어렵지 않다. 보안프로그램 업데이트와 출처가 불분명한 메일을 열지 않는 것만으로도 쉽게 예방할 수 있다. 특히 올림픽, 월드컵 등 글로벌 스포츠 이벤트가 열릴 때마다 주요 경기 장면 등 동영상으로 위장한 악성코드, 올림픽 소식으로 위장한 스팸 메일, 소셜네트워크서비스(SNS)를 통한 악성 인터넷 주소 유포 등 다양한 형태로 개인정보를 노린 공격이 등장한다. 이번 리우올림픽 기간에도 올림픽 관련 메일 제목으로 악성코드가 배포된 사례가 여럿 감지되기도 했다. 기본적인 보안수칙만 지켜도 랜섬웨어 공격에 따른 피해는 예방할 수 있다는 것이 전문가들의 한결같은 지적이다.
북한 해커 조직 ‘돈벌이’ 나섰을 수도
이번 인터파크 회원들의 개인정보를 탈취한 해커들은 앞서 언급했던 일종의 ‘직거래 공격’을 시도했다. 이미 경찰의 조사 결과 북한의 소행임이 드러난 점에 비춰보면 그들이 금전적 거래를 시도한 것은 주목할 만하다. 보안업계 관계자들은 지난 2009년 발생한 7.7 디도스(DDoS) 대란을 포함해 북한의 소행으로 추정됐던 대다수 해킹 공격에서 금전적 요구가 없었다는 점에 비춰볼 때, 향후 이번 인터파크 사례와 유사한 공격이 또다시 발생할 가능성이 크다고 우려하고 있다.
두 번째로 주목해야 할 부분은 북한 해커들이 사용한 공격 방식이다. 이번 인터파크 개인정보 유출 과정에서 해커들이 시도한 공격 패턴은 랜섬웨어 공격이 아닌 ‘지능형 지속가능 위협(Advanced Persistent Threat·APT)’ 형태였다. 인터파크 측 역시 사고 발생 이후 발표한 사과문에서 ‘해커 조직에 의해 APT 형태의 해킹으로 고객 정보 일부가 침해당했다’고 언급하며 이를 인정했다. 사실 APT는 북한 해커들뿐 아니라 전 세계 해커들이 가장 보편적으로 사용하는 공격 방식이다. 그렇다면 APT는 과연 무엇일까?
업계 관계자 A씨는 말한다. “APT는 특정 기법을 활용한 일회성 공격이 아닙니다. 그야말로 총력전이라고 볼 수 있죠. 우선 해커는 특정 타깃을 선정한 뒤 악성코드를 서버 혹은 데이터베이스에 심습니다. 악성코드를 심는 것은 그리 어렵지 않습니다. 내부 직원의 회사 이메일 계정으로 악성코드가 담긴 이메일을 보내고, 이를 직원이 여는 순간 순식간에 악성코드가 서버에 침투하죠. 이후 악성코드는 오랜 시간 잠복하며 정찰, 침투, 검색, 수집, 유출 등 할 수 있는 모든 공격을 펼칩니다. 문제는 타깃 당사자가 이러한 일련의 과정을 전혀 인지하지 못한다는 점이죠. 은밀하게 진행된다는 점에서 가장 무서운 해킹 방식 중 하나로 손꼽히고 있습니다.”
경찰 조사에 따르면 이번 해킹 역시 지난 5월 인터파크 직원 한 명이 악성코드가 첨부된 이메일을 무심코 연 것에서부터 시작됐다. 이후 해커는 악성코드에 감염된 PC를 통해 인터파크 고객 개인정보가 보관된 데이터베이스 서버 접근 권한이 있는 다른 직원의 PC를 2차 해킹했다. 일종의 숙주로 활동한 단 한 대의 PC가 결국 모든 내부 PC와 데이터베이스를 해커의 손아귀에 쥐여 준 것이다.
과거 APT 공격은 ‘알고도 못 막는 해킹 수법’으로 불렸다. 앞서 말했듯 침투와 공격 자체를 인지하기 어렵다는 것이 그 이유였다. 하지만 과거 디도스 사건을 거치며 보안업계에서는 다양한 APT 방어 솔루션을 개발했고, 기술력 역시 글로벌 수준으로 올라섰다. 이미 APT 공격이 가장 전형적이면서도 고전적인 방식이 돼버린 만큼 예방도 가능하다는 것이 보안업계 관계자들의 의견이다. 임종인 고려대학교 정보보호연구원장은 말한다. “지금까지 밝혀진 내용만 보면 이번 사고는 한마디로 인터파크 내부의 총체적인 관리 부실로 인해 발생한 인재(人災)입니다. 인터파크가 사과문에서 밝혔듯이 그동안 개인정보 보안에 노력을 기울였고 APT 솔루션과 같은 기본적인 보안 시스템을 구축했다면 이러한 사고는 발생하지 않았을 겁니다. 만약에 보안 시스템이 구축되어 있는 상태였다면 이를 전혀 관리하지 않았다는 것을 스스로 자백하는 거나 다름없죠. 더구나 해킹을 당하고 협박 이메일이 오기까지 무려 두 달간 해킹 사실을 인지하지 못했다는 점 또한 큰 문제입니다.”
기자가 만난 전문가들은 공통적으로 또 하나의 문제점을 제기했다. 이번 인터파크 사고에 대해 대다수 언론과 정부, 인터파크 측 모두가 ‘북한 해커 소행의 APT 공격’이라는 해킹 자체에만 초점을 맞추는 것 자체가 문제라는 것이다. 그러면서 본질적인 문제는 허술한 인터파크 내부 시스템이라고 입을 모았다. 그리고 이는 비단 인터파크뿐만이 아니라 다른 기업에도 해당할 수 있다고 언급했다. 보안업계 관계자 A씨는 말한다. “솔직히 말해 APT 공격 자체는 ‘알고도 못 막는’ 거라고 봅니다. 그렇기 때문에 APT 공격을 받은 것 자체를 문제 삼고 싶지는 않아요. 이번 인터파크 사례에서는 기업 내부 네트워크 시스템의 기본조차 지키지 않았다는 점이 가장 큰 문제라고 봅니다. 기본적으로 기업들은 네트워크 구축 과정에서 ‘망분리’라는 것을 합니다. 쉽게 말해 네이버, 다음 등 외부 사이트에 접속할 수 있는 망과 사내 네트워크에 접속하는 망을 따로 둔다는 거죠. 네이버에 접속 가능한 컴퓨터에서는 사내 네트워크에 접속할 수 없게 하는 것이 기본입니다. 그런데 이번 사례에서는 인터파크 직원이 외부망에서 받은 메일에 심어진 악성코드가 사내 정보가 담긴 데이터베이스까지 침투했습니다. 이는 망분리가 제대로 되지 않았다고밖에 볼 수 없습니다. 특히 방송통신위원회가 고시한 ‘개인정보의 기술적·관리적 보호조치 기준’에 따르면 개인정보 처리 시스템 구축 과정에서 기업은 의무적으로 개인정보에 접근 가능한 개인정보 취급자 컴퓨터에 대해 물리적 또는 논리적으로 망분리를 해야 합니다.”
진짜 위협은 외부가 아닌 내부에 있다?
일각에서 제기되는 망분리 논란에 대해 인터파크 측의 입장을 확인해봤다. 인터파크 관계자는 “기본적으로 지난 2015년 개인정보보호관리체계(PIMS) 인증을 받는 과정에서 망분리에는 문제가 없다는 확인을 받았다”며 “올해 중순 진행된 사후 심사 과정에서 망분리에 대한 지적을 받은 바 있지만 이번 해킹과는 무관한 사안”이라고 말했다. 사실상 망분리는 철저히 이뤄지고 있다는 것이다.
과연 망분리는 인터파크 측의 말처럼 제대로 구축돼 있었던 것일까? 취재 도중 만난 모 기업 보안부서 출신 관계자 C씨는 또 다른 의견을 제시했다. 다소 놀라운 이야기였다. “과거 제가 몸담았던 기업은 개인정보 유출 파동으로 몸살을 앓았었습니다. 이후 보안체계를 강화하겠다는 명목으로 전담 부서 규모를 대폭 늘렸고, 그 과정에서 제가 관리자로 임명됐죠. 당연히 망분리를 포함한 주요 핵심 보안시스템을 구축·강화했습니다. 그런데 얼마 후 주요 사업부서 팀장에게 전화를 한 통 받았습니다. PC 두 대를 사용하는 것이 번거로우니 한 대에서 모든 업무를 처리할 수 있게 해달라고 말이죠. 당연히 보안 규정상 불가능하다고 말한 뒤 전화를 끊었습니다. 며칠 후 이번에는 그 부서의 총괄 임원이 직접 찾아왔어요. 저를 보더니 대뜸 호통을 치더군요. 번거롭게 일을 처리하지 말고 팀장의 요청을 수용하라고요. 정말 당황스러웠습니다. 심지어 예산과 인력을 줄여야 정신을 차리겠느냐는 말까지 하더군요. 결론적으로는 보안 규정에 따라 (망분리를) 유지할 수 있었습니다만, 지금 와서 생각해보면 이런 경우가 비단 제가 다녔던 회사에만 국한된 것은 아니라는 생각이 들어요.”
다양한 전문가들을 만나면서 보안사고의 근본적인 해결책은 무엇인지 해답을 찾고자 했다. 모두 한결같은 대답을 내놓았다. ‘기업들은 보안인력과 투자를 늘리고, 보안인식 제고를 통해 사고를 미리 방지할 수 있는 힘을 자생적으로 키워야 한다. 정부에서도 더욱 강력하고 꼼꼼한 보안 법규를 마련하고, 정부 차원의 화이트 해커 양성을 통해 블랙 해커의 공격에 대비해야 한다.’
사실 너무나 뻔한 대답이다. 그럼에도 전문가들은 뻔한 대답 속에서도 한 가지 길을 제시했다. 어차피 해커들의 공격은 날이 갈수록 진화하고 있다. 매일매일 진화하는 공격을 예방하기란 사실상 불가능하다. 따라서 해킹 이후 신속하고 적절하게 대응하는 체계를 갖추는 것이 오히려 현실적인 해결책이 될 수 있다는 것이 전문가들의 조언이다.
서울경제 포춘코리아 편집부/김병주 기자 bjh1127@hmgp.co.kr
