인터넷서점 알라딘과 입시학원 시대인재의 홈페이지를 해킹해 데이터를 유출한 범인이 구속됐다. 해당 업체는 모두 데이터를 DRM(디지털 콘텐츠를 암호화 기술)으로 암호화했으나, 경찰에 따르면 범인은 해당 데이터의 복호화 키를 무단 취득해 데이터를 확보한 것으로 확인됐다.
21일 경찰청 사이버수사국은 지난 5월 텔레그램을 통해 인터넷서점 정보통신망에서 무단 취득한 전자책 5000여권을 유포하며, 피해 업체를 대상으로 가상화폐를 요구한 피의자 A(16)군과, 이에 가담한 공범 B(29) 및 C(25)를 검거했다고 밝혔다.
경찰에 따르면 A군은 지난 5월 피해 업체 정보통신망의 취약점을 이용해 인터넷서점 알라딘의 전자책 72만여 권의 암호(DRM)를 해제할 수 있는 복호화 키를 무단 취득했으며, 이 중 전자책 5000권의 DRM을 해제해 유포한 것으로 확인됐다. 이와 유사한 방법으로 다른 인터넷서점의 정보통신망에서 143만여 권의 복호화 키를 무단 취득했으며, 7월에는 유명 입시학원 시대인재를 포함해 2곳의 강의 동영상 700개의 DRM을 복호화 키로 해체해 유포한 혐의도 받고 있다.
피의자 A군은 피해 업체의 보안 취약점을 파악해, 다량의 전자책 암호를 해제하기 위한 자동화 프로그램을 직접 제작한 것으로 확인됐다. 경찰은 A군이 개인용 컴퓨터와 클라우드에 보관 중인 전자책 복호화 키를 전량 회수했다.
한편 DRM을 통한 암호화 조치에도 데이터가 유출된 사실이 알려지자, 알라딘 등 피해기업의 복호화 키 관리가 소홀했다는 지적도 이어지고 있다. 복호화 키가 유실될 경우 아무리 강력한 알고리즘으로 암호화하더라도 무용지물이 될 수 있기 때문이다. 이에 한국인터넷진흥원(KISA) 등에서는 복호화 키는 데이터가 저장되는 장소와 물리적으로 분리해 보관할 것을 권고하고 있다.
앞서 한 보안업계 관계자는 “해킹을 통해 알라딘의 전자책 데이터를 탈취했다고 하더라도, DRM이 적용돼 있었다면 전자책 문서가 유통되는 것은 현실적으로 불가능하다”라며 알라딘의 전자책 데이터 유출에 의문을 제기했다. 하지만 DRM을 적용했음에도 복호화 키 관리 실패로, 수십만 권의 전자책이 유출 위기에 놓여진 것이다.
한편 경찰은 한국인터넷진흥원과 숙사 초기 공동 분석해 공격방식과 취약점을 규명했으며, 수사를 통해 파악한 DRM의 보안상 문제점을 피해 업체에 공유했다. 또한 문화체육관광부, 한국저작권보호원, 한국인터넷진흥원, 한국전자출판협회 등 관계기관 회의를 개최하여 추가적인 피해 방지를 위해 조속히 표준화된 전자책 보안 기술을 개발할 것을 권고했다고 밝혔다.