인터넷 종합 쇼핑몰인 인터파크의 회원 1030만 명의 개인정보가 유출됐다.
26일 인터파크는 홈페이지를 통해 "개인정보 침해 사고 관련 공지 드립니다"라는 제목의 사과문을 발표했다.
인터파크는 5월 초 신원 미상의 해커에게 이용자 정보를 해킹 당했으며, 인터파크 측은 이달 11일에서야 이 사실을 인지하고 경찰청 사이버 안전국에 신고한 것으로 드러났다.
해커는 정보 유출에 성공한 뒤 인터파크 측에 이메일을 보내 "개인정보 유출 사실을 공개하겠다"며 거액의 금품을 요구한 것으로 알려졌다.
업계 전문가들은 전형적인 지능형 지속 위협(APT) 공격으로 보고 있다.
APT 공격은 특정 해킹 기법에 국한되지 않고, 목적을 달성하기 위해 특정 타깃에 대해 오랜 시간에 걸쳐 다양한 전술을 총동원하는 공격을 말한다.
이는 주요 시스템은 물론이고 내부 임직원, 외부 협력업체, 외주 직원 등 사람까지 가리지 않는 것이 특징이다.
한편 수사에 착수한 경찰은 해커가 추적을 피하기 위해 미주, 유럽, 아시아 등 여러 대륙의 해외 서버를 경유한 정황을 포착하고, 각국 경찰에 공조 수사를 요청한 상태다.
현재 인터파크는 회원별로 어떤 개인정보가 유출됐는지 조회할 수 있는 서비스를 임시로 운영하고 있다. 이번 해킹으로 유출된 개인정보는 ID, 암호화된 비밀번호, 이름, 생년월일, 휴대폰 번호, 이메일, 주소 등이다.
인터파크는 비밀번호의 경우 암호화돼 있어 해독이 불가능하지만, 비밀번호를 변경할 것을 권장하고 있다.
