지난 5월 1000만명 넘는 고객 개인정보가 유출된 온라인쇼핑몰 인터파크 해킹 사태의 시작은 특정 내부 직원의 신상정보를 캐낸 ‘스피어피싱’(작살형 피싱)인 것으로 나타났다.

미래창조과학부와 방송통신위원회는 31일 이 같은 내용의 ‘민·관 합동조사단’의 조사 결과를 발표했다. 스피어피싱이란 특정 개인, 기관의 약점을 교묘하게 겨냥해 작살(스피어)을 던지듯 하는 해킹 공격이다. 해커는 스피어피싱 기법으로 인터파크 경영관리 직원 A씨의 PC에 악성코드를 심는 데 성공했다. 이 악성코드는 내부 전산망을 통해 다수 단말기로 퍼졌고, 해커는 고객 개인정보 저장고인 데이터베이스(DB) 서버를 관리하는 ‘개인정보 취급자 PC’의 제어권까지 탈취해 서버 내 개인정보를 빼돌렸다고 미래부는 설명했다.

미래부 관계자는 “해커가 A씨 동생의 이메일 주소를 변조해 악성코드가 담긴 가짜 메일을 보낸 데다 A씨 업무가 전산과 무관한 분야였기 때문에 자신이 스피어피싱에 당했다는 사실조차 몰랐다”고 말했다.

이번 해킹으로 아이디(ID), 암호화한 비밀번호, 주소 등이 유출된 현 인터파크 일반 회원은 ID 기준 1094만여건에 달하는 것으로 집계됐다. ID와 암호화한 비밀번호가 빼돌려진 휴면 회원 ID(1152만여건), 제휴사 일반 회원 ID(245만여건), 탈퇴 회원 ID(173만여건)까지 합치면 총 피해 건수는 2660만여건에 달한다.

이정호 기자 dolph@hankyung.com