[디지털데일리 최민지 기자] 1030만명 고객 정보가 유출된 인터파크 해킹 주범으로 또 북한이 지목되고 있다.
27일 보안업계에 따르면 인터파크 해킹에 사용된 악성코드가 2014년 미국 소니픽쳐스 해킹에 쓰인 것과 유사한 것으로 조사됐다. 당시 미국 연방수사국(FBI)은 해커들이 북한에서만 접속 가능한 서버를 이용하고 북한 IP를 사용한 것으로 확인했다고 밝혔다. 이에 대해 북한은 전면 부인한 바 있다.
인터파크 해킹이 이뤄진 지난 5월은 북한 노동당 제7차 당대회가 이뤄진 시기라 금전적 목적보다는 사회적 혼란 야기를 염두에 둔 것이 아니냐는 지적도 제기된다. 또, 이때 국내에서는 원내대표 경선을 치루며 20대 국회를 개원하기 전이기도 하다.
북한에 정통한 한 보안 전문가는 “인터파크 해킹에 사용된 것으로 알려진 악성코드는 북한이 소니픽쳐스 홈페이지 해킹 때 이용한 것과 비슷하다”며 “공격자들이 30억원을 비트코인으로 요구한 것을 봤을 때 외화벌이 차원으로 해석할 수 있지만, 이 정도 금액이면 보통 결렬될 가능성이 높다”고 말했다.
이어 “금전적 목적보다 사회적 혼란을 주기 위한 행위로 예상된다”며 “해킹이 이뤄진 시점은 지난 5월로, 당시 북한은 노동당 제7차 당대회가 열리는 때라 그 전에 보도됐으면 혼란을 일으킬 수 있는 시기였다”고 덧붙였다.
앞서 지난달 경찰청 사이버안전국은 북한 해커집단이 국내 방위산업 관련 대기업에 사이버 공격을 진행해 4만여건 문서를 탈취했다고 발표한 바 있다. 북한은 2014년 7월부터 그룹사 전산망을 해킹해 통제권 및 문서 유출 후 전산망 마비 공격을 준비해 온 것으로 드러났다. 이에 사이버안전국은 공격서버를 확인해 4만여건 문서를 복원했다.
이처럼 북한은 지능형지속위협(APT) 공격을 지속 감행하고 있다. APT 공격은 특정한 목적을 갖고 오랜 기간 공을 들여 특정 기업이나 조직을 공격하는 특징을 갖고 있다.
이번 인터파크 해킹 또한 APT 공격에 의한 것이다. 해커는 특정한 직원 한 명에게 접근하기 위해 가족을 사칭한 메일을 보냈고, 의심 없이 악성코드가 담긴 첨부파일을 다운받은 것으로 알려졌다. 이 임직원 PC를 통해 10여대가 감염됐는데 이 중 하나가 데이터베이스(DB) 관리자의 PC였다.
피하기 어렵다는 APT 공격에, 북한 소행으로 추측되고 있지만 인터파크가 보안에 소홀했다는 점은 부인하기 어려울 것으로 보인다. 네트워크 분리 및 APT 악성코드 탐지 등이 전혀 이뤄지지 않았기 때문이다.
이 전문가는 “DB 서버는 웹과 연동돼야 하기 때문에 폐쇄망으로 가기 어려워 단순히 망분리 문제로 취급하기는 어렵다”며 “DB에 접근할 수 있는 PC를 선택적으로 제어하는 접근제어가 이뤄졌어야 하며, 부서별 네트워크 분리가 행해졌어야 한다”고 설명했다.
또 “APT 공격의 경우, 해커가 최초 타깃에 대해 정보를 많이 조사하기 때문에 악성코드가 유입되기 쉽다”며 “문제는 악성코드가 투입된 후 이를 전혀 탐지하지 못했다는 점”이라고 강조했다.