<3500만명 정보 해킹 근원지는 중국>‘알집’ 이용 SK컴즈만 집중 타깃

악성코드, 일반인 대상으론 작동않고 잠복네이트와 싸이월드 3500만여명의 회원정보 유출을 불러온 SK커뮤니케이션즈 해킹 사건은 국내 유명 압축 프로그램 ‘알집’의 업데이트를 이용, 특정 기업만을 대상으로 했다는 데 특징이 있다. 알집으로 광범위한 촉수를 갖게 된 악성코드는 일반인을 대상으로 작동하지 않고 숨어 있다가 SK컴즈에만 피해를 줬다.

따라서 피해 접수 뒤 대응책을 마련하는 백신프로그램이 대응할 수 있는 가능성은 완전히 차단됐다. 이는 언제 어디서든 자신의 PC가 악성코드에 감염될 수 있다는 의미여서 주목된다.

11일 경찰청 사이버테러대응센터에 따르면 이번 해킹은 대중용 인기 프로그램을 이용해 약 10일 만에 이뤄졌다. 해커는 지난 7월18∼19일쯤 이스트소프트의 알집 업데이트 서버를 해킹해 정상 업데이트 파일을 악성코드 파일로 바꿔치기 했고, SK컴즈 사내망 PC에서 접속할 때만을 노려 사내망 PC 62대를 좀비 PC로 만들었다.

해커는 7월18∼25일에 일단 좀비 PC를 샅샅이 뒤져 데이터베이스(DB) 서버망에 접근할 수 있는 관리자 아이디(ID)와 비밀번호를 수집했다. 이어 7월26∼27일 이 좀비 PC를 원격 조종해 관리자 권한으로 DB서버에 접속했고, 회원정보를 외부 경유 서버를 통해 중국에 할당된 인터넷 주소(IP)로 유출했다. 이번에 유출된 개인정보는 이름과 아이디, 암호화된 비밀번호 및 주민등록번호, 생년월일, 성별, e메일주소, 전화번호, 주소, 닉네임 등이다.

악성코드는 특정 기업만을 대상으로 다운로드됐다. 일반인들은 알집을 업데이트하더라도 피해를 당하지 않아 백신 소프트웨어 제작 업체들은 이 악성코드에 대한 정보를 가질 만한 시간적 여유가 없었던 것이다.

경찰은 SK컴즈 이외에 다른 IT 기업의 유출 피해 가능성을 배제하지 않은 채 계속 수사를 하고 있다. 업계에 따르면 국내 최대 IT업체 중 한 곳인 네이버는 SK컴즈 정보 유출사건에 이스트소프트가 관여된 사실이 알려진 직후 직원들에게 회사 PC에서 이스트소프트의 알툴즈 프로그램을 삭제하도록 지시한 것으로 알려졌다.

정석화 사이버테러대응센터 수사실장은 “이번 사건처럼 이용자가 백신 프로그램을 설치하고 과실이 전혀 없더라도 PC가 악성코드에 쉽게 감염될 수 있다는 점을 인식해야 한다”며 “기업의 보안정책도 악성코드의 감염 자체를 차단해야 한다는 시각보다는 이미 감염된 좀비 PC를 찾아내는 데 주력해야 한다”고 당부했다.

음성원기자 esw@munhwa.com