해커, SK컴즈 사내망 PC 62대 감염
공격 근원지는 중국 IP로 확인돼
경찰청 사이버테러대응센터는 11일 해커가 SK커뮤니케이션즈 사내망을 악성코드에 감염시키기 위해 ‘알집’ 업데이트 서버를 악용한 정황을 포착했다고 밝혔다. 3500만명의 개인정보는 고스란히 중국 해커의 손에 넘어간 것으로 확인됐다.
경찰청은 지난 7월28일 네이트-싸이월드 해킹 수사에 착수해 SK컴즈, 이스트소프트, 기타 관련업체의 PC와 서버 등 40여대를 종합-분석한 결과, 악성코드 감염경로, 해킹 침입경로, 자료 유출경로를 규명하는 등 3500만명의 회원정보가 유출된 경위를 파악했다고 밝혔다.
해커는 지난 7월18~19일경 이스트소프트의 ‘공개용 알집’ 업데이트 서버를 해킹, 감염시킬 대상을 지정하고 정상 업데이트 파일을 악성파일로 바꿔치기 하는 수법으로 SK컴즈 사내망 PC 62대를 감염시켰다.
또 18~25일경 악성코드에 감염된 사내망 좀비PC로부터 DB 서버망에 접근할 수 있는 DB관리자 ID와 비밀번호 등 내부 접속정보를 추가 수집 후 26일~27일경 좀비PC를 원격 조종해 3500만명의 회원정보를 외부 경유지서버를 통해 중국에 할당된 IP로 유출했다고 경찰청측은 밝혔다.
경찰청 사이버테러대응센터 관계자는 “공격 근원지가 중국 IP로 확인됨에 따라 중국과 공조수사를 진행중으로 긴밀한 공조수사를 통해 범인 검거는 물론 유출 자료를 조속하게 회수하고 추가 유포와 도용 범죄를 차단하기 위해 최선을 다하고 있다”면서 “한국 수사관의 중국 파견도 적극적으로 검토하고 있다”고 밝혔다.
또 경찰은 SK컴즈 이외에 다른 IT 기업도 악성코드 감염 및 개인정보 유출 피해가 있는지 계속 수사를 진행하고 있으며 추가로 피해기업이 확인되면 수사를 확대할 방침이다.
해커의 표적이 된 SK컴즈에 대해서는 정보통신망법상 개인정보 유출차단을 위한 보안장비 설치, 암호화 등 ‘관리적-기술적 보호조치 의무’ 위반여부 등에 대해서도 수사를 진행할 계획이다.
경찰 관계자는 “기업의 보안정책도 백신 프로그램에 전적으로 의존하거나 악성코드 감염 자체를 차단하려는 시각에서 벗어나 악성코드에 이미 감염된 좀비PC를 탐지 및 차단하는데 주력해야 한다”고 당부했다.