지난 5월 1000만명 이상의 개인정보가 유출된 인터파크 해킹 사태의 시작은 내부 직원을 사칭한 ‘스피어피싱(작살형 피싱) 메일’이었던 것으로 나타났다.

스피어피싱은 특정 개인이나 기관의 약점을 겨냥해 작살(스피어)을 던지듯 하는 해킹 공격을 의미한다. 해킹 목표 당사자가 믿을 수 있도록 지인·거래처를 사칭하는 이메일을 보내 악성 코드를 감염시키는 수법이 가장 일반적인 사례다.

미래창조과학부와 방송통신위원회는 위와 같은 내용을 담은 ‘민-관 합동조사단’의 조사결과를 31일 발표했다.

조사결과 해커는 올해 5월 초 스피어피싱 기법으로 인터파크 직원 A씨의 PC에 악성 코드를 심었다. 그는 5월 3일 A씨에게 동생을 사칭한 가짜 메일을 보내 ‘가족사진으로 컴퓨터 화면 보호기를 만들었다’며 악성 코드 첨부 파일을 열도록 유도했다.
 
A씨가 사무실에서 첨부 파일을 열면서 회사 PC에 악성 코드가 심어졌고, 해커는 이를 통해 인터파크의 회사 정보를 수집했으며 고객 개인정보 데이터베이스(DB) 서버를 관리하는 ‘개인정보 취급자 PC’의 제어권까지 탈취해 서버 내 개인정보를 빼돌렸다.  

방통위 관계자는 "A씨의 업무가 전산과 무관한 분야였기 때문에 당사자는 스피어피싱에 당했다는 사실조차 몰랐다"며 "해커가 A씨의 개인 이메일 ID와 비밀번호를 탈취한 방법은 아직까지 확인되지 않았다"고 설명했다.

지난달 경찰은 해킹의 가해자가 북한 정찰총국 소속 해커들로 강하게 의심된다고 발표했다. 관련해 미래부와 방통위는 이번 조사는 해킹 경로와 보안상 취약점을 확인하는 것이 목적이라 해커의 신원을 따로 조사하지 않았다고 밝혔다.

미래부와 방통위는 “이번 사건으로 아이디(ID) 명칭·암호화된 비밀번호·휴대전화 번호·주소 등이 유출된 인터파크 일반 회원 기준으로 약 1094만 여 건에 달한다”며 “이는 실제 사용자 기준으로는 1030만여명에 달하는 규모”라고 전했다.