싸이월드와 네이트 회원 개인정보 유출 사건은 역대 최고 수준의 해커가 주도면밀하게 진행했으며 3천500만명에 달하는 개인정보가 이미 중국으로 넘어간 것으로 드러났다.
이번 사건에 악용된 소프트웨어는 이스트소프트의 알툴즈 중 알집 업데이트 프로그램으로 범인이 마음만 먹었다면 1천400만명에 달하는 알집 사용자 모두가 좀비 PC로 해킹에 악용될 뻔했다.
◇개인정보 중국으로…中정부와 공조 총력 = 경찰청 사이버테러대응센터는 싸이월드와 네이트 회원 총 3천500만명의 개인정보가 한국 내 외부 경유지 서버를 통해 중국에 할당된 IP로 넘어갔다고 11일 밝혔다.
경찰은 지난달 28일 해킹 피해신고를 받고 수사에 착수해 이번 사건과 관련이 있는 SK커뮤니케이션즈ㆍ이스트소프트ㆍ기타 관련업체의 PC와 서버 등 40여대를 분석한 결과 이 같은 사실을 확인했다.
해커는 지난달 18∼25일 악성코드에 감염된 SK컴즈 사내망 좀비 PC로부터 DB 서버망에 접근할 수 있는 DB 관리자 ID와 비밀번호 등 접속정보를 추가 수집했으며 26∼27일에는 좀비 PC를 원격 조종해 관리자 권한으로 DB 서버에 접속한 후 네이트와 싸이월드에 가입된 총 3천500만여명의 회원정보를 중국으로 유출했다.
중국은 보안 전문가들이 이번 사건 초기부터 해커의 근거지일 가능성이 크다고 지목해온 지역으로 우리 경찰과 공조 여부가 불투명해 유출된 개인정보를 회수할 가능성이 선진국에 비해 작은 국가다.
경찰은 중국 정부와 긴밀한 공조수사가 현 시점에서 가장 중요하다고 보고 최대한 이른 시일 내에 범인을 검거해 유출된 자료를 회수하는데 총력을 기울일 방침이라고 밝혔다.
◇"최고수 해커 소행…유출정보 보안 장담 못해" = 경찰청 사이버테러대응센터 관계자는 "자료 분석결과 이번 사건을 주도한 해커는 역대 어떤 사건보다도 수준이 높고 주도면밀하다"고 평가했다.
해커가 이스트소프트를 경유해 SK컴즈로 잠입시킨 악성코드가 기존 해킹에 사용됐던 것들보다 훨씬 수준이 높고 인터넷 보안의 안전지대라고 여겨지는 보안업체를 대담하게 해킹한 점 등으로 미뤄볼 때 최고 수준의 전문가가 틀림없다고 보고 있다.
경찰은 다만 이번 해킹이 중국 IP를 통해 이뤄졌을 뿐 해커의 신원에 대해서는 아직 단서가 없다고 설명했다.
중국인 해커, 중국 IP를 이용 중인 한국인 해커, 중국에서 활동 중인 북한 해커 등 다양한 가능성이 열려 있는 데다 제3국 해커가 중국을 단순 경유지로 위장했을 가능성 또한 경찰은 배제하지 않고 있다.
해커의 수준으로 볼 때 유출된 주요 개인정보 중 비밀번호와 주민등록번호에 설정된 암호가 이미 풀렸을 가능성, 이후 개인정보가 제3자에게 매각됐을 가능성 역시 열려 있다고 경찰은 보고 있다.
◇"알집 사용자 1천400만명 피해 입을 뻔" = 경찰은 알집 업데이트 프로그램을 통한 이번 해킹의 경우 알집을 사용 중인 일반인의 PC는 해킹을 못한 것이 아니라 안 한 것이라고 판단하고 있다.
경찰은 해커가 SK컴즈의 특정 IP로만 악성코드를 겨냥해 보냈으며 일반인을 상대로 유포하지 않았다고 설명했다. 네이버나 다음 등 여타 주요 포털로도 악성코드를 보냈을 가능성 역시 현재까지 확인이 되지는 않았지만 배제할 수 없다는 입장이다.
경찰은 해커가 지난달 18~19일께 이스트소프트의 '공개용 알집' 업데이트 서버를 해킹해 정상 업데이트 파일을 악성파일로 바꿔치기하는 수법으로 SK컴즈 사내망 PC 62대를 감염시켰다고 설명했다.
알집이 국내 압축 프로그램 중 가장 많은 사용자를 보유한 데다 업데이트는 사용자도 모르게 자동적으로 이뤄지고 이를 각종 백신프로그램이 감지하지도 못하기 때문이다. 기업용의 경우 업데이트가 거의 없어 피해 가능성이 적다.
그런데 해커는 SK컴즈 내부 컴퓨터만 감염 대상으로 설정해 공격했다.
사이버테러대응센터 관계자는 "일반인들에게도 유포했다면 알집 사용자 대부분이 꼼짝없이 감염돼 좀비 PC가 됐을 수도 있다"면서 "다만 이 경우 악성코드가 발각되는 속도도 빨라져 그렇게 하지 않은 것 같다"고 말했다.
◇SK컴즈 과실 수사…추가 피해 조사 중 = 경찰은 해커 검거와 별도로 SK컴즈에 대해 정보통신망법상 개인정보 유출 차단을 위한 보안장치 설비, 암호화 등 '관리적·기술적 보호조치 의무' 위반 여부에 대한 수사를 진행할 계획이다.
여타 포털도 악성코드 감염 및 개인정보 유출피해가 있는지를 살펴보면서 수사 확대 여부를 타진하기로 했다.
경찰은 SK컴즈 내부자가 공모했을 가능성을 배제하고 있으며, 이스트소프트도 피해기업 중 하나인 만큼 형사상 과실을 묻기는 어렵다는 입장이다.
사이버테러대응센터 관계자는 "이번 사건처럼 이용자의 과실이 전혀 없더라도 PC가 악성코드에 감염될 수 있다는 점을 기업과 개인 모두가 인식해야 한다"면서 "네이트ㆍ싸이월드 가입자들은 반드시 비밀번호를 변경해달라"고 당부했다.
이 관계자는 또 "현재로서는 백신 프로그램에 전적으로 의존하기보다 악성코드에 이미 감염된 좀비 PC를 탐지하고 차단하는 데 주력해야 한다"고 덧붙였다.