인터파크의 고객정보 해킹사건으로 2660만 건 이상의 개인정보가 유출 된 것으로 조사됐다.

미래창조과학부와 방송통신위원회는 인터파크 고객정보 해킹사건에 대한 민관합동조사단의 조사 결과를 31일 발표했다.

유출된 이름, 성별, 생년월일, 휴대폰 번호 등 회원정보는 모두 2665만8753건에 이르는 것으로 집계됐다. 이미 알려진 일반회원 정보 1030만여 건뿐 아니라 휴면회원 1152만 여건, 탈퇴회원 173만여 건 등이 포함됐다. 

해커는 '스피어피싱(spear-phishing)' 이란 해킹기법을 동원해 인터파크의 직원 PC에 악성 코드를 심었다. 스피어피싱이란 특정 개인이나 기관의 약점을 교묘하게 겨냥해 작살(스피어)을 던지듯 진행하는 해킹 공격을 가리킨다.

해커는 인터파크 직원의 지인을 사칭해 악성코드가 첨부된 이메일을 발송하는 방법으로 이 직원의 컴퓨터에 악성 코드를 설치했다. 이후 악성 코드는 인터파크 사내 전산 단말기에 퍼졌고 이를 통해 해커가 내부정보를 수집했다.

해커는 고객 개인정보를 저장하는 데이터베이스(DB) 서버에 대한 제어권까지 탈취해 개인정보를 빼돌렸다. 해커는 개인정보가 보관된 파일을 16개로 분할해 직원 PC를 경유해 외부로 유출한 것으로 밝혀졌다.

미래부는 이번 조사과정에서 발견된 문제점을  보완할 수 있도록 조사결과 및 개선사항을 공유하는등 보안강화 기술지원을 실시했다. 

방통위와 한국인터넷진흥원(KISA)은 '개인정보 유출 대응 매뉴얼'도 발표했다. 이는 인터파크가 이번 유출 사건 발생 직후에 관계기관에 바로 신고하지 않는 등 초기대응이 미흡했던 점을 고려해 마련된 조치다. 

최성준 방통위 위원장은 "개인정보 유출사고가 발생하면 신속하게 이용자에게 알리고 관계기관에 신고해 추가 피해를 막는 것이 중요하다"며 "이번 매뉴얼을 참고해 앞으로 유사한 사고가 발생할 경우 사업자들이 빠르게 대응할 수 있도록 개선하겠다"고 밝혔다. [비즈니스포스트 신동훈 기자]