경유지IP·악성코드 특성 과거 북한발 디도스 사건과 일치
협박 메일서 ‘총적으로 쥐어짜면’ 등 북한어도 확인돼
[천지일보=김민아 기자] 최근 인터파크 고객 1030만명의 정보가 해킹으로 유출된 사건이 북한의 소행으로 보인다는 경찰 분석이 나왔다. 이는 북한이 경제 제재 등으로 어려움에 처하자 금전적 이익을 얻으려 했던 것으로 추정된다.
28일 경찰청 사이버안전국과 정부합동조사팀은 이번 사건에 사용된 인터넷 프로토콜(IP) 주소 등을 확인하고 분석한 결과, 북한 정찰총국 소속 해커들의 소행으로 강하게 의심된다고 밝혔다.
경찰에 따르면 해킹에 쓰인 경유지 3개국의 IP 4개가 과거 북한 체신성발 해킹과 일치한다는 것이다. 또한 과거 북한발 해킹 사건과 매우 유사한 악성코드를 사용했다는 점도 북한 소행이라는 근거에 힘을 더한다는 설명이다.
체신성 IP는 지난 2009년 청와대 등 정부 기관과 금융사, 포털사이트를 공격한 7·7디도스(DDoS, 분산서비스거부) 공격, 2012년 6월 중앙일보 전산망 해킹, 2013년 6월 청와대와 국무조정실 홈페이지 등을 공격한 주소다.
경찰은 북한 체신성 IP 관련 별개의 해킹 사건을 수사하던 중에, 이번 인터파크 고객정보유출 해킹 사건과 비교한 결과 이들 사건에 쓰인 경유 IP 4개의 주소가 동일하다는 사실을 확인했다고 밝혔다.
또 경찰은 두 사건에 쓰인 악성코드 제작 방식과 코드 저장 위치, 악성코드 작동으로 생성되는 파일명 등이 일치한다고 덧붙였다. 이는 과거 북한 소행의 해킹 사건과 상당히 유사하다는 것이다.
◆인터파크 임원에 ‘거액 요구’ 이메일 발송
해커들이 사용한 국내 포털사이트 이메일 주소도 과거 해킹 시에 사용된 것과 동일하다. 해커들은 올해 5월 1000만명이 넘는 고객정보를 유출하고 이달 4일부터 인터파크 임원에게 이메일을 보내 ‘30억원을 비트코인(가상화폐)으로 송금할 것’을 요구하며 요구에 응하지 않으면 ‘고객정보 유출 사실을 공개하겠다’고 협박한 것으로 전해졌다.
경찰에 따르면 해커가 인터파크 측에 보낸 이메일 중 1건에서 ‘총적으로 쥐어짜면’이라는 표현이 있는데 ‘총적’은 ‘총체적인 또는 총괄적인’의 북한식 표현이다. 이러한 점도 북한의 소행이라는 것을 뒷받침한다.
북한 해커들은 해킹에 앞서 인터파크의 한 직원에 관한 정보를 수집해 해당 직원의 동생으로 사칭하고 악성코드를 심은 이메일을 발송한 것. 이렇게 악성코드에 감염된 PC는 회사 내부망과 연결되면서 해커가 고객 정보를 탈취할 수 있었다.
경찰은 정부 합동조사팀과 긴밀히 공조수사를 하고 있다고 전했다.