인터파크 해킹 원인은…"보안시스템 미비·허술한 망분리 탓"

[아시아경제 이민우 기자] 인터파크 개인정보 유출 사고는 허술한 망분리와 이상 징후 탐지 능력 부실 등으로 빚어진 결과였다. 기업에게 개인정보 보호를 강화할 제도 개선도 필요하다는 지적이다.

28일 보안 전문가들은 인터파크 해킹 사고가 최근 기업을 겨냥한 공격이 증가하고 있는 상황에서 총체적 보안 시스템 부실이 맞물려 생겨난 문제라고 분석했다.

인터파크는 지난 5월 지능형 지속 가능 위협(APT) 공격을 당해 고객 1030만여명의 개인정보를 해킹 당했다. APT는 메일이나 웹문서 등을 통해 서버에 잠복하며 꾸준히 공격을 가하는 방법이다. 인터파크 측은 해커가 지난 11일 비트코인으로 수십억원을 요구하기까지 해킹 사실을 인지하지 못했다.

'인터파크' 개인정보유출 / 사진=인터파크 홈페이지

한 보안업계 전문가는 "전체 회원의 40%에 해당하는 1030만명의 개인 정보라면 상당한 크기의 데이터인데 이를 감지하지 못한 것은 보안 시스템 자체가 제대로 작동하지 않은 셈"이라며 "네트워크 상황을 모니터링하는 업무에 소홀했다는 지적을 피하기 어렵다"고 말했다.

윤광택 시만텍코리아 최고기술경영자는 "개인보단 기업을 공격한 뒤 금전을 요구하는 형태가 늘고 있다"며 "이번 인터파크 공격도 같은 맥락"이라고 설명했다.

'망분리 시스템'도 원인으로 지적됐다. 인터파크는 내·외부망을 분리했지만 대부분 직원이 PC로 내·외부망을 자유롭게 오가며 회원 개인정보에 접근할 수 있었다. 망 분리란 일반 인터넷에 접속하는 외부망과 사내 시스템에 접속하는 내부망을 나누는 것을 말한다.

김용대 한국과학기술원(KAIST) 정보보호대학원 교수는 "외부망에서 감염된 악성코드가 내부망까지 침투할 수 있었던 원인은 허술한 망분리 때문"이라며 "대규모 개인 정보를 가지고 있는 기업이라면 내·외부망 접속 PC를 따로 두는 물리적 망 분리를 해야 한다"고 말했다.

개인 정보 암호화 문제도 거론됐다. 2500만명의 회원 정보 중 정보통신망법에서 정한 최소한의 정보만을 암호화했다. 현행 정보통신망법은 비밀번호와 주민번호, 금융정보만을 암호화해 저장하도록 하고 있다.

한 보안업계 관계자는 "유출된 주소, 이름, 메일주소 등만 있어도 충분히 다른 용도로 활용할 수 있다"며 "전면적인 암호화가 필요하다"고 말했다.

전문가들은 APT 같은 지속적이고 전방위적으로 이뤄지는 공격을 예방하려면 대응 인력 확보가 중요하다고 지적한다.

이승진 그레이해쉬 대표는 "전방위적 APT 공격은 보안 솔루션 만으로는 한계가 있다"며 "구글이나 마이크로소프트(MS)처럼 보안 전문 인력이 다수 상주하며 새로운 공격을 탐지하고 점검해야 한다"고 말했다.

기업들이 IT인력에 투자할 수 있도록 정부 차원에서 제도를 통한 채찍과 당근이 필요하다는 지적이다.

임종인 고려대 정보보호대학원 교수는 "정보통신망법과 개인정보보호법의 강제 조항이 늘어나고, 보안 쪽 투자에 대한 인센티브가 보다 확실해질 필요가 있다"고 지적했다.

김용대 KAIST 교수는 "보안 사고에도 현재 기준보다 강한 징벌적 배상이 필요하다"며 "개인정보 유출 1건당 1000~1만원 수준으로만 책정해도 보안에 투자하지 않을 수 없을 것"이라고 말했다.

이민우 기자 letzwin@asiae.co.kr