[김국배, 성지은 기자] 1천30만명의 고객 정보가 유출된 인터파크 해킹 공격의 배후로 북한이 지목됐다. 과거 북한이 사용한 악성코드와 유사하다는 것이 근거다.
이에 따라 인터파크 해킹 사고가 단순 고객정보 유출사건에서 북한의 사이버테러라는 새로운 국면을 맞고 있어 주목된다. 다만 북한의 소행이라 해도 인터파크의 책임론을 피하기는 어렵다는 게 업계 지적이다.
28일 보안업계에 따르면 인터파크 해킹 공격에 쓰인 악성코드가 지난 2013년 6월 25일 청와대와 언론사, 2014년 11월 소니픽처스 해킹 공격 때와 동일하다는 분석이 제기됐다.
또한 명령제어(C&C) 서버 일부도 북한이 주로 쓰는 것과 일치하는 것으로 파악됐다. 앞선 두 해킹 공격은 모두 북한의 소행으로 결론이 났다.
북한은 지난 1월 제4차 핵실험 후 국제사회의 경제 제재가 심해지자 사이버 심리전을 펼치고 있는 것으로 분석된다.
실제로 미래창조과학부에 따르면 올해 상반기 북한 정찰총국 등이 주도한 사이버 공격이 전년보다 200% 이상 급증하기도 했다.
다만 북한 인터넷주소(IP)가 발견되지 않아 결론을 내리긴 이르다는 분석도 있다.
한 보안 전문가는 "악성코드는 북한 스타일이 맞는 것 같다"면서도 "하지만 북한 IP가 나와야 북한 소행이라 할 수 있다"고 선을 그었다.
최근 북한 소행으로 밝혀진 SK, 한진 등 국내 대기업을 대상으로 발생한 공격의 경우 평양 류경동 소재 IP가 나왔다.
이번 공격에서 또 한 가지는 주목되는 점은 지능형지속위협(APT)이라 불리는 공격기법이다. 특정 대상을 정해놓고 짧게는 수 개월에서 길게는 수 년까지 장기간에 걸쳐 은밀하게 공격을 감행한다.
현재까지 인터파크 해킹은 인터파크 직원 PC가 악성코드에 감염돼 고객 데이터베이스(DB) 서버에서 고객정보가 대량 유출된 것으로 파악된 상태다.
지난 5월 인터파크 직원이 사내 PC로 동생을 가장한 공격자에게 이메일을 받았고, 악성코드를 숨기고 있던 '화면 보호기 파일'을 다운로드 받으면서 감염된 것으로 알려졌다.
◆해킹 고도화, 사이버 보안 패러다임 '변화'
APT와 같은 고도화된 공격의 등장으로 사이버 보안의 패러다임은 '방어'에서 '탐지와 대응'으로 패러다임이 바뀌는 추세다. 100% 사전 방어는 어렵다는 데 보안업계는 공감한다.
또 사이버 공격은 범인을 잡기 어려운 탓에 어찌보면 피해자이기도 한 기업이 과도한 질책을 받는 경항이 있다는 목소리도 있다.
실제로 대부분의 APT 공격은 내부에서 먼저 알아채기 힘들어 외부에서 알려줘 인지하게 된다. 인터파크 역시 공격자가 비트코인으로 30억원을 요구할 때까지 해킹 사실을 몰랐다.
그러나 북한 소행, APT 공격이라는 단서가 면죄부가 될 순 없다는 게 보안업계의 지적이다. 마치 '북한 공격=불가항력'이라는 의미로 쓰이는 것을 경계하는 목소리다.
특히 인터파크는 '완벽한 망분리가 이뤄지지 않은 것이 아니냐', 'DB접근제어 등 DB보안은 제대로 됐나' 등 허술한 보안관리체계 운영에 대한 지적도 받고 있다.
김승주 고려대 정보보호대학원 교수는 "'북한이 배후'라는 분석과 북한을 마치 '전가의 보도'로 내세우는 것은 구분할 필요가 있다"며 "배후에 북한이 있다고 해서 정보 유출 책임에서 자유로울 순 없다"고 말했다.
이어 "소니픽처스 해킹 사건의 경우 북한 소행으로 공식 발표가 난 뒤 (정보 유출 피해를 입은) 전직 직원들과 보상에 대한 합의를 보기도 했다"고 덧붙였다.
김국배기자 vermeer@inews24.com 성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기