방통위 ‘정보보호 매뉴얼’마련



지난 5월 발생한 인터파크 대규모 개인정보 유출은 APT(지능형 지속 위협)공격에 의한 사고로 조사됐다.

미래창조과학부와 방송통신위원회, 민간전문가 등으로 구성된 ‘민ㆍ관합동조사단’은 31일 ‘인터파크 침해사고 관련 조사 결과’를 발표했다.

이번 조사는 지난 7월28일 북한의 정찰총국 소행으로 판단되는 인터파크 고객정보 해킹 및 협박사건에 대한 경찰청의 중간 수사 결과 발표와 병행해 침해사고 원인 분석을 위해 한 달여 동안 실시됐다.

조사 결과 이번 사고는 ▷해커가 스피어피싱으로 직원PC에 악성코드를 최초 감염시키고 ▷다수 단말에 악성코드 확산과 함께 내부정보를 수집하고 ▷데이터베이스(DB)서버에 접근 가능한 개인정보취급자PC의 제어권을 획득한 후 ▷DB서버에 접속해 개인정보를 탈취하고 외부로 몰래 유출하는 APT(Advanced Persistent Threat) 공격으로 발생한 것으로 분석됐다.

또, 해커는 패스워드 관리 및 서버 접근통제 관리 등의 취약점을 악용해 인터파크 회원정보 2665만건이 보관된 파일을 16개로 분할하고 직원PC를 경유해 외부로 유출한 것으로 조사됐다. APT는 지능형 타깃 지속 위협으로 정부 또는 기업 등 특정조직을 대상으로 장기간에 걸친 은밀하고 지능적인 네트워크 공격방식을 의미한다. 과거 SK커뮤니케이션즈 개인정보유출사건과 최근 한국수력원자력의 해킹과 같은 수법이다.

미래부는 조사과정에서 발견된 문제점을 개선ㆍ보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원을 실시했다.방통위는 침해사고를 인지한 후 인터파크에서 개인정보 유출 침해사고를 확인하고 해당 피해사실 및 이용자 조치방법 등을 이용자에게 통지토록 조치했다.

한편 방통위와 한국인터넷진흥원은 개인정보 유출사고 발생 시 피해를 최소화하기 위해 사업자가 준수해야 할 사항을 담은 ‘개인정보 유출 대응 매뉴얼’을 발표했다. 매뉴얼에 따르면 사업자는 개인정보 유출 사실을 알게 된 때 ▷개인정보 유출 신속대응팀 구성ㆍ운영 ▷유출 원인 파악 및 추가유출 방지조치 ▷개인정보 유출 신고 및 이용자에 통지 ▷이용자 피해구제(법정ㆍ징벌적 손해배상제도) 등을 마련해야 한다.

최상현 기자/bonsang@heraldcorp.com