-방통위, ‘개인정보 유출 대응 매뉴얼 마련’


[헤럴드경제=최상현 기자] 지난 5월 발생한 인터파크 대규모 개인정보 유출은 APT(지능형 지속 위협)공격에 의한 사고로 조사됐다.

미래창조과학부와 방송통신위원회, 한국인터넷진흥원, 민간전문가 등으로 구성된 ‘민ㆍ관합동조사단’은 31일 이 같은 내용의 ‘인터파크 침해사고 관련 조사 결과’를 발표했다.

이번 조사는 지난 7월28일 북한의 정찰총국 소행으로 판단되는 인터파크 고객정보 해킹 및 협박사건에 대한 경찰청의 중간 수사 결과 발표와 병행해 침해사고 원인 분석을 위해 한 달여 동안 실시됐다.

조사단은 경찰로부터 넘겨받은 사고 관련자료(37종, 5테라바이트) 분석과 현장조사를 통해 해킹의 구체적인 방법 및 절차 등을 확인했다.

조사 결과 이번 사고의 원인은 ▷해커가 스피어피싱으로 직원PC에 악성코드를 최초 감염시키고 ▷다수 단말에 악성코드 확산과 함께 내부정보를 수집하고 ▷데이터베이스(DB)서버에 접근 가능한 개인정보취급자PC의 제어권을 획득한 후 ▷DB서버에 접속해 개인정보를 탈취하고 외부로 몰래 유출하는 APT(Advanced Persistent Threat) 공격으로 발생한 것으로 분석됐다.

또한, 해커는 패스워드 관리 및 서버 접근통제 관리 등의 취약점을 악용해 인터파크 회원정보 2665만8753건이 보관된 파일을 16개로 분할하고 직원PC를 경유해 외부로 유출한 것으로 조사됐다. APT는 지능형 타깃 지속 위협으로 정부 또는 기업 등 특정조직을 대상으로 장기간에 걸친 은밀하고 지능적인 네트워크 공격방식을 의미한다. 공격 경로가 다양한 특징을 갖고 있다. 과거 SK커뮤니케이션즈 개인정보유출사건과 최근 한국수력원자력의 해킹과 같은 수법이다.

미래부는 조사과정에서 발견된 문제점을 개선ㆍ보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원을 실시했다.

방통위는 침해사고를 인지한 후 인터파크에서 개인정보 유출 침해사고를 확인하고 해당 피해사실 및 이용자 조치방법 등을 이용자에게 통지토록 조치했다.

방통위는 개인정보 보호조치 위반 관련 사항에 대해서는 ‘정보통신망이용촉진 및 정보보호 등에 관한 법률’에 따라 조치할 예정이다.

한편 방통위와 한국인터넷진흥원은 개인정보 유출사고 발생 시 피해를 최소화하기 위해 사업자가 준수해야 할 사항을 담은 ‘개인정보 유출 대응 매뉴얼’을 발표했다.

매뉴얼에 따르면 사업자는 개인정보 유출 사실을 알게 된 때 ▷개인정보 유출 신속대응팀 구성ㆍ운영 ▷유출 원인 파악 및 추가유출 방지조치 ▷개인정보 유출 신고 및 이용자에 통지 ▷이용자 피해구제(법정ㆍ징벌적 손해배상제도) 등을 마련해야 한다.

/bonsang@heraldcorp.com