# 인터파크 사건 개요
인터파크 해킹 사고는 2016년 5월에 APT 공격으로 인해 1,030만 건의 개인정보를 유출 당하는 등의 피해를 입고 경찰청에 수사요청을 하면서 드러난 사건입니다.
조사에 따르면 당시 해킹 사고는 공격자가 임직원의 동생을 사칭해 악성 파일이 첨부된 메일을 전송하였으며, 이를 실행시킨 임직원의 PC가 감염되면서 공격이 이루어진 것으로 확인됩니다.
악성코드에 감염된 임직원 PC는 공격자의 공격 통로로 이용됐으며, 이를 통해 DB서버에 접근한 공격자는 개인 정보를 빼돌리는 등의 공격을 행한 것으로 확인됩니다.
1,030만 건 이상의 개인정보를 획득한 공격자는 30억원에 이르는 금전 요구 메일을 발송해왔으며, 이에 경찰은 현재 사건에 대해 수사중이며 유출된 정보로 인한 2차 피해가 우려된다고 밝혔습니다.
# 공격 시나리오
다음은 인터파크 해킹 사고에 대한 공격 시나리오 입니다.
2. 악성 파일을 실행한 임직원 PC는 감염되어 공격자 측의 C&C서버와 연결을 맺으면서 공격 통로로 이용됩니다.
3~4. 서버 접근 권한이 있는 임직원 PC를 통해 공격자는 DB 서버 접속에 성공하였고 1,030만 건 이상의 개인 정보를 획득하는데 성공합니다.
5. 개인 정보 획득에 성공한 공격자는 인터파크에게 30억원에 이르는 금전 요구 메일을 발송합니다.
미래창조과학부와 방송통신위원회의 조사에 따르면 최초 5월 3일 사칭 악성 메일을 발송하여 임직원A의 PC가 감염되었고, 감염된 PC를 공격 통로로 사용하여 파일 공유 서버에 패스워드 대입 공격을 시도하였으며, 이에 성공한 공격자는 내부 망에 침입하여 감염을 확산시켰다고 합니다.
5월 4일 파일공유서버를 경유하여 개인정보 취급 PC 접속에 성공하였고, 해당 PC와 DB 서버의 기존 연결 상태를 이용하여 DB서버 접속에 성공했으며, 이후 개인정보 등의 데이터 탈취를 시도했으나 실패하였고 결국 웹 서버를 통한 우회방법으로 개인정보를 빼내는데 성공했다는 것이 사건에 대한 설명입니다.
# 발생원인 및 결론
인터파크 사건의 발생 원인은 논리적인 망 분리의 허술함과 DB 서버 접근 통제에 실패했다는 것이 원인입니다. 일정시간 동안 별다른 업무가 없을 시 세션이 종료되어야 하지만 이에 관련된 설정이 미흡했다고 볼 수 있습니다. 따라서 개인정보 취급자 PC를 감염시키지 않았음에도 PC와 DB서버 간의 연결 중인 세션을 이용해 정보 탈취가 가능한 것으로 보여집니다.
APT 공격의 경우 정해진 공격 기법이 아니기 때문에 원천 차단이 불가하여 이를 사전 예방을 통해 공격이 발생했을 때 피해를 최소화 시켜야 합니다. 일반 사용자 또는 임직원의 경우 출처가 불명확한 URL에 접근하지 말아야 되며, 알 수 없는 출처의 소프트웨어는 다운로드하지 말아야 합니다. 그리고 시스템을 관리하는 관리자의 경우 주기적인 백신 검사 및 운영체제 업데이트로 최신 상태를 항상 유지해야 할 것이며, 주요 시스템은 관리자만 접근이 가능하도록 설정하고, 영역별로 망을 분리하여 이와 같은 침해 사고에 예방해야 합니다.
Diano.
http://www.diano.kr / 이사하는중 /