경찰이 1030만명의 고객정보가 유출된 ‘인터파크 해킹 사건’의 범인으로 북한을 지목했다.

경찰청 사이버안전국과 정보합동조사팀은 ‘인터파크 해킹 사건’에 사용된 IP와 범행에 이용된 악성코드, 이메일에 쓰인 협박표현 등을 종합한 결과 북한 정찰총국 소속 해커들의 소행으로 의심된다고 28일 밝혔다.

경찰은 해킹에 쓰인 경유지 3개국의 IP 4개가 과거 북한 체신성발로 감행된 해킹과 일치한다고 설명했다.

앞서 북한 체신성 IP에서 시작한 것으로 확인된 다른 해킹 사건을 수사하던 경찰은 이번 사건과 비교한 결과 이들 사건에 쓰인 경유 IP 4개의 주소가 동일하다는 사실을 확인했다.

이들 IP주소는 △2009년 청와대 등 정부 기관과 금융사, 포털사이트를 공격한 7·7 디도스(DDoS) 공격 △2012년 6월 중앙일보 전산망 해킹 △2013년 6월 청와대, 국무조정실 홈페이지 등을 공격한 6·25 공격에 쓰인 것으로 드러났다.

경찰은 이번 사건이 과거 북한발 해킹 사건과 매우 유사한 악성코드를 쓴다는 점도 확인했다.

두 사건의 악성코드 제작 방식과 코드 저장 위치, 악성코드 작동으로 생성되는 파일명 등도 모두 일치하는 것으로 밝혀졌다.

또 두 사건에서 해커들이 사용한 국내 포털사이트 이메일 주소도 동일한 것으로 전해졌다.

지난 5월 고객정보 유출에 성공한 해커는 이달 4일 인터파크 임원급 인사에게 “30억원을 비트코인으로 송금하지 않으면 고객정보 유출 사실을 공개하겠다”고 협박 이메일을 보낸 것으로 조사됐다.

이 협박 이메일 34건 가운데 1건에서 ‘총적으로 쥐어짜면’이라는 북한식 표현이 쓰인 점도 북한 소행임을 뒷받침하는 근거로 보고 있다.

경찰 관계자는 “북한이 우리 기반시설 공격을 넘어 국민 재산을 탈취하려는 범죄적 외화벌이에까지 해킹 기술을 이용한다는 사실이 확인된 최초 사례”라며 “정부 합동조사팀과 긴밀히 공조수사하고 있다”고 전했다.

[신아일보] 고아라 기자 ara@shinailbo.co.kr

고아라 기자 다른기사 보기