인터파크 회원 1천만명의 개인정보가 유출된 사건은 지능형 해킹에 대한 대응에 있어 의미있는 시사점을 던져주는 사례라는 평가가 많다.
고객정보를 안전하게 다루지 못한 1차 책임이 인터파크에 있다는 점은 분명하다. 그러나 동종 업계 현업 실무자들이나 보안분석가의 설명에 따르면 작정하고 덤비는 공격자를 막아내는 것은 사실상 불가능에 가깝다. 미국에서도 오래시간 공을 들인 지능형 공격(APT 공격)에 소니픽처스와 백악관이 뚫렸다.
인터파크 고객 정보가 유출됐다는 사실을 넘어, 왜 뚫릴 수밖에 없었는지에 대한 보다 정확한 상황 판단이 필요한 시점이다. 어떤 기업이 또 다른 타깃이 될 지 모르기 때문이다. '개인정보는 이미 공개정보 아니냐'는 냉소나 '저런 나쁜 기업이 다 있냐'는 질책 이전에 왜 이런 일이 발생할 수밖에 없었는지에 대한 이해가 우선돼야 한다. 그래야만 제대로 된 대책이 나온다. 냉소나 질책은 그 다음에 해도 늦지 않다.
■인터파크 해킹, 최소 4개 이상 관문을 뚫고 들어간 것
29일 해당 사건에 대한 조사에 참여했던 보안 분석가의 설명에 따라 사건개요를 다시 살펴보면 다음과 같다.
인터파크 직원은 여동생 말투까지 흉내낸 공격자로부터 한 통의 이메일을 받는다. 평소 메일을 주고받았었고, 여기 첨부된 파일이 가족사진을 활용한 스크린세이버라는 점에서 열어보지 않을 이유가 없었다.
주목할 점은 공격을 수행한 해킹그룹이 오랜시간 집요하게 인터파크를 공격목표로 삼았다는 점이다. 해당 직원의 가족관계는 물론 가족사진까지 확보하고, 여동생의 말투까지 흉내를 냈다는 사실에 비춰보면 악성메일이라고 의심할 여지는 더욱 없어진다.
1차로 해당 직원의 PC를 감염시킨 악성코드(드로퍼)는 또 다른 악성코드를 불러와 실행한다. 이를 통해 공격자는 대상PC와 각종 공격명령을 내리거나 자료를 훔쳐내는 C&C서버를 연결시킨다.
보안 분석가에 따르면 대상PC에 추가로 다운로드돼 실행되는 악성코드는 내부 문서파일 등을 모조리 수집해 C&C서버로 전송하는 기능을 가졌다. 공격자는 다시 해당 내용들을 분석해 다른 PC를 감염시키는가 하면 개인정보가 담긴 DB에 접근할 수 있는 관리자 권한을 가진 PC를 감염시키는데 성공한다.
이 과정에서 해킹그룹은 최소 4가지 보안관문을 통과했다. 먼저 직원의 동생이 사용한 포털메일 관리회사다. 해당 포털회사가 직원 동생이 쓰는 메일이 도용됐는지, 악성파일이 첨부돼 있었던 것은 아닌지 확인하는 절차를 거치지 않았거나 공격자가 이를 우회할 수 있는 방법을 마련했을 것으로 판단된다.
1차 관문을 통과한 악성메일은 직원이 사용하는 PC에 설치된 백신프로그램을 통해 탐지, 차단이 됐어야했지만 그렇지 못했다. 가족사진까지 도용한 공격자들의 집요함을 봤을 때 백신을 우회할 수 있는 방법을 고안했던 것으로 분석된다. 이렇게 2차 관문도 넘었다.
인터파크는 내부망과 외부와 연결되는 인터넷망을 분리해서 운영해왔다고 밝혔다. 공격에 당한 직원은 개인정보가 담긴 내부 DB에 접근할 권한이 없었다. 공격자는 해당 직원의 PC를 기반으로 내부 시스템을 분석해 직원 PC와 내부망을 연결시키거나 DB접근권한이 있는 관리자 PC에 대한 권한을 추가로 확보했다.
이 회사는 이메일 보안 솔루션과 APT 대응 솔루션을 도입했었지만 이들은 모두 내부망에서 직원들끼리 주고 받는 메일에 대해서만 모니터링을 하고, APT 대응 솔루션 역시 이상징후가 발견된 트래픽을 차단하는 것이 아니라 탐지하는 용도로만 썼던 것으로 분석됐다. 3차, 4차 관문도 무너진 것이다.
일반 기업들에 비해 온라인쇼핑몰은 특성상 직원들이 외부 인터넷을 사용할 일이 많다. 업무 특성을 고려하더라도 인터파크가 제대로 망이 분리되지 않았거나 분리됐더라도 허술하게 관리했을 수 있다.
■사건 발생 두 달, 인지한 뒤 이틀 뒤에나 신고
4차 관문까지 통과한 악성메일은 결국 인터파크 전체 고객들 중 40%에 달하는 1천만여명의 개인정보를 훔쳐낸 뒤 해당 회사 대표에게 이를 공개하지 않는 대신 대가를 요구하는 협박메일을 보냈다.
해당 회사 대표가 7월11일 협박메일을 받고, 이틀 뒤인 13일에 경찰에 신고하고, 언론보도, 홈페이지를 통해 공지를 알린 시점은 사건 발생 두 달이 지난 25일 오후였다는 점도 인터파크가 안일하게 대응해 사건을 키웠다고 지적한다.
동종업계 보안 담당자는 "정보통신망법에 따라 개인정보 침해사고를 인지하면 24시간 안에 한국인터넷진흥원(KISA)이나 경찰 등 관계기관에 신고를 해야하지만 현실적으로 쉬운 일이 아니다"라는 의견을 냈다.
그의 설명에 따르면 침해사실이 알게된 뒤에도 진짜인지, 아닌지 내부적으로 확인하고 확실하다고 판단하는 경우에만 윗선에 보고한다. 더구나 공격자들이 조사를 방해하기 위해 침해흔적을 지우거나 암호화 기술을 썼을 경우 분석에 더 오랜 시간이 걸린다. 현실적으로 24시간은 침해사고를 분석해, 확정하고, 알리기까지 엄청 촉박한 시간이라는 설명이다.
이 담당자는 "글로벌 기업들도 침해사고를 인지해서 FBI에 신고하기까지 4일~5일이 걸리고, 이 과정에서 외부 보안회사 침해사고분석 전문가를 불러 조사를 수행하는 과정을 거친다"고 말했다.
암호화도 분석을 어렵게 한다. 해킹에 악용된 네트워크 통로 중 하나는 암호화 통신 트래픽을 전송하는 443 포트다. 해당 포트로 송수신된 패킷을 분석한다고 하더라도 암호화한 내역을 파악하기가 어렵다는 것이다.
■망분리, 시간 지날수록 관리 허술해지는 이유
망분리는 초기에 제대로 구축을 해놨다고 하더라도 임원이나 직원들이 불편함을 호소하면서 외부 인터넷망과 연결되는 우회경로가 생기는 경우가 많다. 더구나 망분리된 환경에서도 임직원들이 큰 제약없이 외부 인터넷을 사용할 수 있게 보안규정을 낮춰달라는 항의하면 힘이 없는 보안 담당자들 입장에서는 어찌됐든 이를 완화시켜줄 수밖에 없다는 현실적인 이유도 있다.
"(망분리와 같은 내부보안은) 결국 운영의 문제"라며 "처음에는 잘 구축해 놓겠지만 사업부서나 C레벨까지도 불편하니 풀어달라, 바꿔달라며 계속 보안수준을 낮춰달라고 요청한다"고 이 담당자는 어려움을 털어놨다.
보안 분야는 방어자가 불리할 수밖에 없다. 건물에 수천개 창문을 닫아 놓는다고 하더라도 한 두개 열린 창문으로 도둑이 들어오는 것이나 마찬가지기 때문이다. 사이버 보안 분야에서도 공격이 워낙 고도화되고 있어 이것들을 모두 탐지하고, 막아내는데 어려움이 많다는 설명이다.
■보안도 '협업'이 글로벌 키워드
관련기사
- 경찰-정부합동조사팀 "인터파크 해킹 北 소행 판단"2016.07.31
- 미래부-방통위, 인터파크 개인정보 유출 조사2016.07.31
- 인터파크 해킹, 1천만명 고객 정보 유출2016.07.31
- 달라진 보안 패러다임..."공격 막겠다는 생각 버려라"2016.07.31
작정하고 들어오는 공격을 막아내기 어렵다고 손 놓고 있을 수도 없는 일이다. 최근 미국 보안회사들은 사이버쓰렛얼라이언스(CTA)를 구성해 1개 보안회사에서 막아내기 어려운 각종 지능형 공격에 대응하자고 말한다. 국내서도 KISA가 사이버위협정보공유분석시스템인 C-TAS를 운영하고, 국내 주요 보안회사 분석가들로 구성된 사이버위협 인텔리전스 네트워크 등을 마련했으나 아직은 초기 단계에 머물러 있다.
이와 함께 해킹이 기업 실적에 직접적인 타격을 입힐 수 있는 심각한 리스크로 다가오는 만큼 보안팀을 획기적으로 늘리는 대책도 검토가 필요하다. 현업 보안 담당자는 "전 세계 해커들이 달려드는데 기업 내 열 몇 명의 보안팀 인력만으로는 감당할 수 없는 것이 현실"이라며 "대개 보안팀 중 몇 명은 보안관제, 다른 이들은 보안솔루션 운영을 맡고, 개인정보보호를 담당하는 사람들로 구성되는데 새롭게 발전하는 공격을 분석하고 연구할 수 있을만한 사람들을 실무에서는 거의 찾아볼 수 없다"고 진단했다.
