최근 발생한 네이트와 싸이월드 회원 개인정보 유출사건은 역대 최고 수준의 해커가 주도했으며 3500만 명에 달하는 개인정보가 이미 중국으로 넘어간 것으로 드러났다. 또 이번 해킹이 가능했던 데는 고객들의 민감한 개인정보를 관리하는 SK커뮤니케이션즈(SK컴즈) 직원들이 안전이 검증되지 않은 개인용 프로그램을 무분별하게 설치해 사용했기 때문인 것으로 나타났다.
중국이 근원지
경찰청 사이버테러대응센터는 유출된 개인정보가 한국 내 외부 경유지 서버를 통해 중국에 할당된 IP로 넘어갔다고 11일 밝혔다. 경찰은 지난달 28일 해킹 피해신고를 받고 수사에 착수해 이번 사건과 관련이 있는 SK커뮤니케이션즈, 이스트소프트, 기타 관련업체의 PC와 서버 등 40여대를 분석한 결과 이 같은 사실을 확인했다.
해커는 지난달 1825일 악성코드에 감염된 SK컴즈 사내망 좀비 PC로부터 DB 서버망에 접근할 수 있는 DB 관리자 ID와 비밀번호 등 접속정보를 추가 수집했으며 26, 27일에는 좀비 PC를 원격 조종해 관리자 권한으로 DB 서버에 접속한 후 네이트와 싸이월드 회원정보를 중국으로 유출했다.
경찰은 분석결과 이번 사건을 주도한 해커는 역대 어떤 사건보다도 수준이 높고 주도면밀했다고 밝혔다. 해커가 이스트소프트를 경유해 SK컴즈로 잠입시킨 악성코드가 기존 해킹에 사용됐던 것들보다 훨씬 수준이 높고 인터넷 보안의 안전지대라고 여겨지는 보안업체를 대담하게 해킹한 점 등으로 미뤄볼 때 최고 수준의 전문가 행위라는 것. 경찰은 다만 이번 해킹이 중국 IP를 통해 이뤄졌을 뿐 해커의 신원에 대해서는 아직 단서가 없다고 설명했다. 공짜 소프트웨어 쓰다가 다 뚫려
경찰은 해커들이 컴퓨터 보안업체 이스트소프트가 만든 파일 압축프로그램인 알집의 광고 업데이트 서버를 통해 SK컴즈 사내 PC에 접근했다고 밝혔다. 광고 업데이트란 회사가 대중에게 무료로 프로그램을 배포하는 대신 광고 수익을 얻기 위해 사용자들에게 노출되는 광고가 수시로 바뀌도록 하는 작업이다.
경찰 조사결과 알집 업데이트 서버를 해킹한 해커들은 미리 파악한 SK컴즈 사내 IP주소로 감염시킬 대상을 한정한 뒤 정상 업데이트 파일을 악성파일로 바꾸는 방법으로 SK컴즈 사내 PC 62대를 감염시켰다.
해커들은 감염시킨 PC를 원격조정이 가능하도록 좀비PC로 만든 뒤 개인정보가 보관된 데이터베이스(DB)서버에 접근할 수 있는 내부 접속 정보를 추가로 수집했다. 이후 관리자 권한으로 DB서버에 접속해 회원정보를 중국 IP를 통해 유출했다.
문제가 된 알집 광고 업데이트는 PC 사용자가 무료인 개인용 알집 프로그램을 쓰는 경우에 프로그램을 실행할 때마다 자동으로 이뤄진다. SK컴즈같은 기업 고객은 프로그램을 유료로 구입해야 하고 이 경우 광고 업데이트 기능이 없다. 하지만 좀비 PC로 이용된 SK컴즈 PC 62대는 모두 개인용 알집 프로그램이 깔려 있어 직원들이 악성코드가 심어지는 것을 눈치 채지 못했다.
신광영 김상훈 neo@donga.com sanhkim@donga.com
About Dong-A Ilbo