[김국배기자] 인터파크에서 해킹 공격으로 유출된 회원정보가 2천600만 건에 달하는 것으로 나타났다. 당초 알려진 1천30만 건의 두 배에 달하는 수치다.
31일 미래창조과학부와 방송통신위원회는 이 같은 내용의 '민·관 합동조사단'의 조사결과를 발표했다.
이번 조사 결과 지난 5월 3일부터 6일까지 발생한 해킹 사태의 시작은 특정 직원을 겨냥한 '스피어피싱' 공격이었던 것으로 나타났다.
스피어피싱은 표적형 악성 메일로 특정인을 대상으로 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일이다.
해커는 지인을 사칭해 악성코드가 첨부된 이메일을 발송했고, 해당 메일을 열람한 직원PC가 악성코드에 감염된 것. 이후 직원 PC를 경유해 파일공유서버에 접속해 악성코드를 설치, 다수 단말로 감염을 확산시키고 내부 정보를 수집했다.
뒤이어 파일공유서버를 경유한 해커는 개인정보 취급자PC로 접속해 DB서버에 접근해 개인정보를 탈취하고 외부로 유출시켰다.
유출된 회원정보는 인터파크 일반회원 아이디와 암호화한 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 1천94만 건에 달했다. 이밖에 제휴사 아이디 245만 건, 탈퇴회원 아이디 173만 건, 휴면회원 아이디와 암호화된 비밀번호 1천152만 건까지 총 2천665만 건이다. 중복 여부에 대해선 방통위에서 추가 조사 중이다.
인터파크 관계자는 "유출 회원정보가 늘어난 것은 다른 개인정보 없이 ID로만 존재하는 제휴사·탈퇴회원 계정, ID와 암호화된 비밀번호로 존재하는 휴면회원 계정까지 포함된 숫자"라며 "약 1천500여만 건은 개인을 특정할 수 없는 비식별 정보"라고 설명했다.
민관합동조사단 단장인 송정수 미래부 정보보호정책관은 "침해사고가 발생한 경우 미래부 등 관계기관에 즉시 신고해야 하며, 증가하는 북한의 사이버 도발 위협에 대비해 개인정보보호 및 사이버보안 체계를 재점검하는 등 정보보호 노력을 강화해야 한다"고 말했다.
방통위는 개인정보 보호조치 위반 관련 사항에 대해선 '정보통신망이용촉진 및 정보보호 등에 관한 법률'에 따라 조치할 예정이다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기