경찰청은 지난 7월28일 네이트-싸이월드 해킹 수사에 착수해 SK컴즈, 이스트소프트, 기타 관련업체의 PC와 서버 등 40여대를 종합-분석한 결과, 공격 근원지가 중국 IP로 확인됐으며 이스트소프트의 ‘공개용 알집’ 업데이트 서버를 해킹, SK컴즈의 사내망을 공격한 것으로 파악됐다고 밝혔다.
◇중국 해커, 회원정보 어떻게 빼갔나
경찰은 악성코드 유포지인 이스트소프트의 서버를 분석한 결과 해커는 처음부터 SK컴즈 사내망을 노리고 특정 망만 감염시키는 악성코드를 유포시켰다고 밝혔다.
해커는 중국 IP를 사용해 중국에 소재한 해커로 추정된다. 해커는 지난 7월18~19일쯤 이스트소프트의 ‘공개용 알집’ 업데이트 서버를 해킹했다. 이 때부터 악성코드가 유포되기 시작한 것으로 경찰은 추정했다.
알집 프로그램은 설치하면 실행할 때마다 자동으로 업데이트 프로그램이 실행되는데 해커는 감염시킬 대상을 지정하고 사용자가 정상 서버가 아닌 허위 서버를 통해 허위의 정보를 다운로드 받도록 만들었다.
여기에 사용된 ‘F업체(물류업체)’는 자신의 서버가 해킹에 악용되는지 조차 알지 못했다. 해커는 F업체 서버를 미리 해킹해 악성코드를 심어놓은 후 정상 업데이트 파일을 악성파일로 바꿔치기 하는 수법으로 SK컴즈 사내망 PC 62대를 감염시켰다.
악성코드의 주요 기능은 2가지로 하나는 키보드를 입력하면 파일 형태로 저장되는 기능과 외부와 자동접속돼 해커와 통신할 수 있는 매개가 되는 역할이다. 이 악성코드로 인해 감염된 PC 사용자가 입력한 정보는 고스란히 해커의 손에 들어갔다.
해커는 감염된 PC를 일주일 정도 모니터링하면서 회원정보에 접속할 수 있는 추가적인 정보를 빼냈다. 7월26~27일 해커는 감염된 좀비PC들을 원격 제어, 데이터베이스까지 침투해 들어갔다.
빼낸 3500만명의 회원정보는 중국으로 바로 흘러들어간 것이 아니라 국내의 외부 경유지 서버를 거쳐서 빼내가는 수법으로 최종 확인됐는데 해당 ‘E업체(구인구직업체)’ 역시 자신들의 서버가 해커에 의해 악용된지 알지 못했다.
경찰청 사이버테러대응센터 정석화 실장은 “특정 사이트만 노리고 악성코드를 유포시킨 범죄로 처음 나타난 수법”이라면서 “DB 접속 권한자의 아이디와 패스워드를 유출해 DB를 바로 빼내간 것을 보면 개인정보를 노린 범죄로 볼 수 있다”고 설명했다.
◇SK컴즈 외에 다른 사이트는 피해 없나
문제가 된 것은 이스트소프트의 공개용 알집 소프트웨어로 만약 이것을 다른 일반기업에서 사용했다면 감염됐을 가능성이 있다.
경찰청은 다른 개인 정보를 보유한 사이트 가운데 이런 피해 사실이 있었는지에 대해 추가 분석 작업을 벌이고 있다. 현재까지 확인된 것은 SK컴즈 뿐이다.
또한 이번 해킹으로 일반 사용자의 PC는 전혀 피해가 없었다고 경찰청 측은 밝혔다. SK컴즈만을 타깃으로 한 공격이기 때문에 일반 사용자들은 정상적인 파일이 업데이트 됐다는 것.
정석화 실장은 “해커는 모든 사용자들을 감염시키려고 마음 먹었다면 충분히 가능했다”면서 “하지만 특정한 사이트, 특정 회사만 노리도록 프로그래밍 해놓은 것을 보면 디도스 공격과 같은 목적이 아니었던 것”이라고 밝혔다.
◇ 내부자 혹은 북한 소행?
경찰은 SK컴즈의 내부자 공모 가능성은 없다고 확신했다. 외부 해커에 의한 것이 확실하며 북한과 관련한 정황은 아무 것도 나온 게 없다고 밝혔다.
해커의 표적이 된 SK컴즈에 대해서는 정보통신망법상 개인정보 유출차단을 위한 보안장비 설치, 암호화 등 ‘관리적-기술적 보호조치 의무’ 위반여부 등도 수사를 진행할 계획이다.
수사 결과, 개인정보를 다량으로 보유하고 있는 정보통신서비스사업자의 관리 조치가 미흡했다는 것이 밝혀진다면 ‘양벌 규정’이 적용돼 징역 2년 이하의 형사처벌을 받을 수 있다.
이에 대해 SK컴즈 관계자는 “경찰청의 수사에 협조하면서 결과를 기다리고 있다”며 “향후 1차적으로 진행해왔던 피해 예방 운동을 계속 추진하겠다”고 말했다.