인터파크 고객 1030만 명의 정보 해킹은 북한 정찰총국의 소행으로 확인됐다. 경찰은 해커의 경유지IP와 이들의 이메일 주소, 협박 메일에서 확인한 북한 말투 등을 근거로 꼽았다.
경찰청 사이버안전국과 정부합동조사팀은 이번 사건에 사용된 인터넷 프로토콜(IP) 주소 등 지금까지 확인된 사실을 종합한 결과, 북한 정찰총국 소속 해커들의 소행으로 강하게 의심된다고 28일 밝혔다.
경찰은 먼저 해킹에 쓰인 경유지 3개국의 IP 4개가 과거 북한 체신성발로 감행된 해킹과 일치한다고 밝혔다. 과거 북한발 해킹 사건과 매우 유사한 악성코드를 쓴다는 점에서 북한 소행으로 볼 근거가 충분하다고 판단했다.
체신성 IP는 2009년 청와대 등 정부 기관과 금융사, 포털사이트를 공격한 7·7 분산서비스거부(DDoS·디도스) 공격, 2012년 6월 중앙일보 전산망 해킹, 2013년 6월 청와대, 국무조정실 홈페이지 등을 공격한 6·25 공격에 쓰인 주소다.
경찰은 앞서 북한 체신성 IP에서 시작한 것으로 확인된 별개의 해킹 사건을 수사하던 중 이번 사건이 터지자, 두 사건의 양상을 비교한 결과 이들 사건에 쓰인 경유 IP 4개의 주소가 동일하다는 사실을 확인했다.
북한 해커들이 사용한 국내 포털사이트 이메일 주소도 동일한 것으로 확인됐다.
연합뉴스 보도에 따르면 경찰 관계자는 "같은 피의자가 아니면 도저히 나타날 수 없는 정보들이 중복돼서 나타났다"며 "나중에 결과가 바뀔 가능성은 없다"고 밝혔다.
인터파크를 협박하기 위해 보낸 이메일에서도 북한 어투가 드러났다.
경찰은 해커가 인터파크 측에 보낸 이메일 34건 중 1건에서 '총적으로 쥐어짜면'이라는 북한식 표현이 쓰였다고 밝혔다. 이 점도 북한 소행임을 뒷받침하는 근거로 보고 있다. '총적'은 '총체적인', '총괄적인' 이라는 뜻의 북한어다.
경찰 관계자는 "북한이 우리 기반시설 공격을 넘어 국민 재산을 탈취하려는 범죄적 외화벌이에까지 해킹 기술을 이용한다는 사실이 확인된 최초 사례"라며 "정부 합동조사팀과 긴밀히 공조수사하고 있다"고 전했다.