최근 인터파크 고객 1030만명의 정보가 해킹으로 유출된 사건은 북한 소행인 것으로 잠정 결론난다.
경찰청 사이버안전국과 정부합동조사팀은 28일 브리핑을 통해 이번 사건에 사용된 인터넷 프로토콜(IP) 주소 등 지금까지 확인된 사실을 종합한 결과, 북한 정찰총국 소속 해커들의 소행으로 강하게 의심된다고 밝혔다.
특히, 경찰은 해킹에 사용된 경유지 3개국의 IP 4개가 과거 북한 체신성발로 감행된 해킹과 일치한다는 점, 그리고 과거 북한발 해킹 사건과 매우 유사한 악성코드를 쓴다는 점에서 북한 소행으로 볼 근거가 충분하다고 판단했다.
경찰청에 따르면 체신성 IP는 지난 2009년 청와대 등 정부 기관과 금융사, 포털사이트를 공격한 7·7 분산서비스거부(DDoS·디도스) 공격과 2012년 6월 중앙일보 전산망 해킹, 2013년 6월 청와대, 국무조정실 홈페이지 등을 공격한 6·25 공격에 쓰인 주소다.
앞서 경찰은 북한 체신성 IP에서 시작한 것으로 확인된 별개의 해킹 사건을 수사하던 중 이번 사건이 발생하자, 두 사건의 양상을 비교한 결과 이들 사건에 쓰인 경유 IP 4개의 주소가 동일하다는 사실을 확인했다.
뿐만 아니다. 두 사건에 쓰인 악성코드 제작 방식과 코드 저장 위치, 악성코드 작동으로 생성되는 파일명 등이 일치하고, 과거 여러 건의 북한발 해킹 당시 발견된 악성코드와도 상당한 유사점을 보인다고 경찰은 설명했다.
또한 두 사건에서 해커들이 사용한 국내 포털사이트 이메일 주소도 동일한 것으로 드러났다.
이에 대해 경찰 관계자는 "아직 체신성 IP가 발견된 단계는 아니지만, 체신성발로 확인된 다른 사건에 쓰인 공격명령 서버 4개의 IP 주소가 이번 사건의 경유지 서버 주소와 정확히 일치한다는 점에서 같은 공격 주체로 판단된다"고 말했다.
해커는 지난 5월 고객정보 유출에 성공하자 이달 4일부터 인터파크 임원급 인사에게 이메일을 보내 "30억원을 비트코인(가상화폐)으로 송금하지 않으면 고객정보 유출 사실을 공개하겠다"고 협박한 것으로 조사됐다.
경찰은 해커가 인터파크 측에 보낸 이메일 34건 중 1건에서 '총적으로 쥐어짜면'이라는 북한식 표현이 쓰인 점도 북한 소행임을 뒷받침하는 근거로 보고 있다. '총적'은 '총체적인', '총괄적인' 이라는 뜻의 북한어다.
이외에도 북한 해커들은 인터파크의 한 직원에 관한 사전 정보를 충분히 수집하고서 해당 직원의 동생을 사칭, 악성코드를 심은 이메일을 보내 PC를 감염시킨 뒤 이 PC를 이용해 회사 내부망으로 침입하는 수법을 쓴 것으로 분석됐다.