[201607][해킹] 인터파크 개인정보 유출

국내 메이저 온라인 쇼핑몰 중 하나인 인터파크에서 약 1천만명 이상의 개인정보가 유출되는 사고가 발생하였다.

1. 이슈

    - 약 1000만명 이상의 개인정보가 외부로 유출됨

      → 16년 5월에 유출된 것으로 확인됨

2. 예상 원인

    - (경찰 결론) 북한 해커의 APT 공격으로 인터파크 내부 시스템의 악성코드 감염에 따른 개인정보 유출

      → 경찰 수사 결과 북한 해커에 의한 해킹 사고로 판단됨 

3. 사건 상세

    - APT 공격을 이용하여 내부 직원의 이메일로 악성코드가 삽입된 메일을 발송

      → 해당 직원의 남동생을 사칭하여 가.족.사.진 이라는 제목의 메일을 발송

          (가족사진으로 오인할 수 있는 화면보호기 파일(.scr)에 악성코드를 삽입한 것으로,
          사회공학적 기법이 추가된 APT 공격임)

      → 해당 직원이 메일을 클릭(개봉)하면 메일 안에 있는 악성코드가 설치/전파되는 구조임

    - 해당 직원이 악성코드가 삽입된 메일을 개봉하여 전체 시스템으로 악성코드 전파

      → 약 1030만명의 개인정보 (이름, 생년월일, 휴대폰 번호, 이메일, 주소 등) 유출 확인 

    - 해커는 인터파크 대표이사에게 대가(30억 비트코인)를 요구하는 협박 메일 발송

4. 인터파크 보안 현황

    - PIMS 등 국가 보안인증을 취득하여 운영 중임

5. 문제점

    - 해킹에 의한 정보유출 사고가 5월에 발생했음을 내부적으로 인지하였으나,
      이를 관계기관에 신고하지 않고 자체적으로 처리하여 무마시키고자 하였음

    - PIMS 등 보안 인증을 취득하였으나 이에 대한 지속적 준수가 이루어지지 않았을 가능성이 큼

      → 악성코드가 전체 시스템으로 전이된 점으로 볼 때, 특정 개인의 시스템 접근제어와 권한 관리가 적절히
         이루어지지 않음을 시사

    - 해킹에 의한 정보유출이 언론에 의해 알려진 이후 '이용약관 변경 안내'를 전격 공지하여 책임을 회피하고자 함
      (실제 회피를 목적으로 한 것인지, 서비스 변경 타이밍이 절묘한 것인지에 대한 의도는 불분명)

    - 회원 탈퇴 시 개인정보가 평문으로 전송됨이 언론에 밝혀져 7/29 추가 보완조치 적용

6. 결론 (순수한 개인 의견)

    - 보안보다는 매출에 중점을 두고, 면피와 감추기에만 급급해 하는 회사로 생각됨 

    - 인터파크 투어에는 여권정보와 같은 고유식별정보가 있다고 하니(개인정보취급방침 내 기재되어 있음) 당장 탈퇴하겠음

    - PIMS 인증을 받았다는데 인증 사후심사 및 갱신심사 도래 전에는 어떠한 형태로 업무를 수행하고 있을지 의구심이 듬
      (왠지 인증 직전에 몰아서 증적자료를 만드는 것은 아닐런지...)
    - 이에 앞으로 다시는 인터파크를 이용할 일은 없을 것이며 탈퇴함

7. 참고사항
    - 분명 최초 언론에 알려진 시점에는 개인정보가 유출된 것으로 나왔으나, 금일(8/4) 다시 한 번 조회해 보니
      유출된 정보가 없다고 나와 더욱 신뢰가 떨어짐

    - 경찰 조사 결과 북한의 소행이라고 하며 제시한 증거들은 모두 정황 증거로 뿐이 볼 수 없음

       [경찰 조사 결과에서 제시한 북한의 소행 근거]
         1) 해킹 공격의 경유지 IP가 북한의 것이고,
         2) 사용된 악성코드의 코드 작성 법이 북한의 것과 유사하며,
         3) 협박 이메일에 포함된 특정 문구(총적으로 쥐어짜면 이라는 표현)가 북한 용어라 함

       → 그러나, Fact는 결국 해커를 잡아야 나올 수 있는 것으로,
           위의 증거들은 제 3국에서 북한의 표현을 모방하고 북한을 경유하여 들어간다면위의 정황이 재연될 것임

※ 그렇지만 나는 아직 대한민국 경찰을 믿고 싶으며,
   보안은 보안 부서만의 노력이 아닌 전사 나아가 국민 모두가 경각심을 갖고 다소 불편한 프로세스를 기꺼이 지킬 때
   비로소 강화될 수 있을 것이다. (그게 힘들지..ㅠ.ㅠ)