미래창조과학부(이하 미래부)와 방송통신위원회(이하 방통위)는 지난 5월3일부터 6일까지 4일간 발생한 인터파크 회원정보 침해사고와 관련 ‘민·관합동조사단(이하 조사단)’의 조사 결과를 31일 발표했다.

이번 조사는 지난 7월28일 북 정찰총국 소행으로 판단되는 인터파크 고객정보 해킹 및 협박사건에 대한 경찰청의 중간 수사 결과 발표와 병행해 사고 대응, 피해 확산 방지 등을 위한 침해사고 원인 분석을 위해 실시됐다.

조사단 확인 결과 ▲ 해커는 스피어피싱으로 직원PC에 악성코드를 최초 감염시키고 ▲ 다수 단말에 악성코드 확산과 함께 내부정보를 수집하고 ▲ DB서버에 접근 가능한 개인정보취급자PC의 제어권을 획득한 후 ▲ DB서버에 접속해 개인정보를 탈취하고 외부로 몰래 유출한것으로 밝혀졌다.

또한 해커는 패스워드 관리 및 서버 접근통제 관리 등의 취약점을 악용해 인터파크 회원정보 2,665만8,753건이 보관된 파일을 16개로 분할하고 직원PC를 경유해 외부로 유출한 것으로 조사됐다.

미래부는 인터파크를 대상으로 조사과정에서 발견된 문제점을 개선·보완할 수 있도록 조사결과 및 개선사항 공유 등 보안강화 기술지원을 실시했다. 방통위는 침해사고를 인지한 후 인터파크에서 개인정보 유출 침해사고를 확인하고 해당 피해사실 및 이용자 조치방법 등을 이용자에게 통지토록 조치했다.

아울러 방통위는 개인정보 보호조치 위반 관련 사항에 대해 ‘정보통신망이용촉진 및 정보보호 등에 관한 법률’에 따라 조치할 예정이다.

[소비자가만드는신문=조지윤 기자]