실시간
뉴스

법제도/정책

SK컴즈 내부망 악성코드 감염·고객정보 유출 경로는

- 경찰 “외부해킹에 의해 특정 사이트 고객정보 노린 표적공격”
- 중국과 공조로 범인 추적 주력, SK컴즈 과실·보호조치 이행 여부 수사 가속화

[디지털데일리 이유지기자] “공격자가 마음만 먹었다면 얼마든지 ‘알집’ 사용자 전체를 대상으로 악성코드에 감염시킬 수 있을 만큼 정교했던 공격이며, 외부해킹에 의해 SK컴즈 고객정보만을 노린 표적공격이다.”

사상초유의 SK커뮤니케이션즈(SK컴즈) 고객정보 3500만명 유출 사건을 수사 중인 경찰이 내린 결론이다.  

SK컴즈 해킹은 외부자에 의해 철저하게 이 회사의 개인정보를 노린 표적공격으로 경찰 수사결과 드러났다. 현재까지 고객정보 이외에 다른 정보가 유출된 단서는 파악되지 않았다.

경찰은
중국발 IP 공격자를 추적하는 한편, 이 공격자가 같은 수법으로 다른 포털 등 대량 개인정보 보유업체를 대상으로도 악성코드를 감염시켜 고객정보를 유출했는지 여부를 조사하며 수사를 확대하고 있다.   

11일 경찰청 사이버테러대응센터가 발표한 이 사건 중간 수사결과에 따르면, 공격자는 SK컴즈 고객정보를 유출하기 위해 이스트소프트를 포함해 세 업체의 서버를 해킹했다.

이스트소프트의 공개용 압축프로그램인 ‘공개용 알집’ 업데이트 서버를 해킹, 서버주소를 변조시켜 미리 해킹해 악성코드를 심은 F업체의 서버에 SK컴즈 사내망 ‘알집’ 사용자들이 접속하도록 주소를 특정해 놓은 것으로 나타났다.

알집 업데이트 서버로 위장된 F업체의 서버에 접속한 SK컴즈 ‘공개용 알집’ 사용자들은 변조된 업데이트 파일을 받아 키로깅과 외부접속을 시도하는 악성코드에 감염됐다.

이에 따라 이스트소프트 서버가 직접 악성코드 유포지로 악용된 것은 아니다.  

경찰청 사이버테러대응센터 정석화 수사실장은 “7월 18~19일경 SK컴즈 내부 PC가 악성코드에 감염됐을 것으로 추정되며, 당시 모든 백신프로그램이 이를 탐지 못해 감염여부를 파악하지 못했다. 이 점이 위험한 부분”이라고 설명했다.

공격자는 악성코드에 감염된 SK컴즈 직원 PC 62대를 좀비PC로 만들어 정보를 수집한 뒤 성수동에 있는 서버망 DB서버에 접근할 수 있는 DB관리자 접속정보를 추가로 수집한 것으로 파악됐다.

이후 26~27일쯤 사내망 좀비PC를 원격조종하는 방식으로 관리자 권한으로 DB서버에 접속해 네이트와 씨이월드에 가입된 3500만명의 회원정보를 외부 경유지서버를 통해 중국에 할당된 IP로 유출했다.

정석화 실장은 “유출된 네이트와 싸이월드 고객DB는 각각 3100만명, 2500만명에 해당하지만 이를 통합해 중복을 제외하고 유출된 개인정보는 3500만명”이라며, “우리나라 인터넷인구 3700만명의 대부분이 유출된 것”이라고 말했다.

외부 경유지는 한 구인구직사이트 운영업체의 서버를 해킹해 악용했다. 경찰은 이 업체의 서버에 저장된 SK컴즈의 고객정보를 확인했다.

정 실장은 “수사결과 범인은 외부해커가 확실시되며, DB유출 경유지 서버에서 SK컴즈의 고객정보 이외에 다른 유출된 정보가 확인되지 않았다”고 밝혔다.  

앞으로 경찰은 범인을 추적하는데 집중할 계획이다. 고객정보를 유출한 IP가 중국IP로 확인됨에 따라 중국과 공조수사를 진행하고 있다.

또한 해킹 당한 SK컴즈의 과실과 정보통신망법(정보통신망 이용 촉진 및 정보보호 등에 관한 법률)의 관리적·
기술적 보호조치 이행 여부를 철저하게 가린다는 방침이다.

다만 이번 해킹에 악용된 이스트소프트와 다른 두 업체는 형사적으로 피해자이기 때문에 과실 여부나 보안조치 미흡 등을 조사해 처벌한 근거는 없다는 입장이다.

정석화 실장은 “이번 공격은 특정 사이트를 겨냥해 제한적으로 악성코드를 정교하게 유포한 것이 특징”이라며, “악성코드 감염은 막을 수 없는 상황이 됐기 때문에 기업은 백신에만 의존하지 말고 악성코드 감염사실을 신속히 탐지해 좀비PC로 동작하지 못하도록 하는데 초점을 맞춰 대응해야 하며, 역접속(리버스엔지니어링) 악용 대책을 수립하는 것도 시급하다”고 강조했다.

<이유지 기자> yjlee@ddaily.co.kr

디지털데일리 네이버 메인추가
x