[월요신문 김윤진 기자] 미래창조과학부·방송통신위원회는 지난 5월 발생한 ‘인터파크 개인정보 유출’ 조사 결과를 31일 발표했다. 민·관합동조사단은 미래부·방통위 공무원, 한국인터넷진흥원 및 민간 전문가로 구성됐다.

미래부에 따르면, 유출된 인터파크 회원정보는 총 26,658,753건이었다. 이 가운데 활성계정 회원정보가 10,947,544건(아이디, 패스워드, 이름, 성별, 생년월일, 전화번호, 이메일, 주소 등)으로 가장 많았다. 이밖에 휴면계정 11,522,045건(아이디, 패스워드), 인터파크 제휴사 2,454,348건(아이디), 탈퇴회원 1,734,816건(아이디)도 상당수 유출됐다. 이에 미래부·방통위는 “각 분류 간 중복 여부에 대해서는 방통위에서 추가 조사 중”이라고 밝혔다.

미래부·방통위는 해킹방법으로 ‘스피어피싱’이 사용됐다고 밝혔다. 스피어피싱은 특정인을 대상으로 정보를 캐내기 위한 피싱 공격을 말한다.

조사단은 경찰로부터 넘겨받은 사건 관련자료(37종, 5TB) 분석과 현장조사를 통해 해킹의 구체적인 방법 및 절차 등을 확인했다.

조사단은 “해커는 패스워드 관리 및 서버 접근통제 관리 등의 취약점을 악용한 것으로 조사됐다”며 “조사결과 해커는 지인을 사칭해 직원A에게 악성코드가 첨부된 이메일을 발송, 열람한 직원의 PC를 감염시켰다. 이어 파일공유서버를 통해 개인정보취급자PC에 감염을 확산시켰고, 이후 DB서버에 접속해 개인정보를 탈취하는 수법을 사용했다”고 설명했다.

조사단은 이어 “해커는 탈취한 정보를 웹서버→취급자PC→직원B의 PC를 거쳐 외부로 유출했다”고 덧붙였다.

미래부는 “조사과정에서 발견된 문제점을 개선·보완할 수 있도록 인터파크에 조사결과를 공유하고 보안강화 기술지원을 실시했다”고 밝혔다.

미래부는 해킹대처 및 예방방법에 대해 “침해사고가 발생한 경우 미래부 등 관계기관에 즉시 신고해야 한다. 증가하는 북한의 사이버 도발위협에 대비해 개인정보보호 및 사이버보안 체계를 재점검하는 등 정보 보호 노력을 강화하는 것이 매우 중요하다”고 강조했다.