경찰 “북한 정찰총국 해커 판단”…IP주소·이메일 표현 일치 확인

경찰이 인터파크 고객 1030만명의 개인정보를 해킹하고 금품을 요구한 사건의 범행 주체로 북한 정찰총국을 지목했다. 경제제재로 외화벌이가 어려워지자 해킹 기술을 이용한 것으로 추정된다는 게 경찰 분석이다..

경찰청 사이버수사과는 28일 “이번 사건에 사용된 인터넷 프로토콜(IP) 주소, 악성코드를 분석한 결과 북한 정찰총국 해커들의 소행으로 판단된다”고 밝혔다.

경찰 수사 결과 인터파크 해킹에 쓰인 경유지 3개국의 IP 주소 4개가 과거 북한 체신성발로 감행된 해킹 IP 주소와 과 일치했다. 2009년 7·7 디도스 공격, 2012년 중앙일보 해킹, 2013년 청와대 홈페이지 해킹 등에도 동일 IP가 쓰였다.

경찰 관계자는 “인터파크 해킹에서 체신성 IP가 확인된 것은 아직 아니다”라면서도 “기존에 수사하던 정보기술(IT) 업체 해킹 사건이 북한 체신성발로 판명됐는데, 이번 인터파크 해킹과 경유지 IP가 겹친다”고 말했다.

두 사건에서 해커들이 사용한 국내 포털사이트 이메일 주소도 같은 것으로 확인됐다. 두 사건의 악성코드 제작 방식, 코드 저장 위치, 악성코드 작동으로 생성되는 파일명 등도 모두 일치했다.

해커는 올해 5월 고객정보 유출에 성공하자 이달 4일부터 인터파크 임원에게 협박 이메일 34통을 보내 “30억원을 비트코인으로 송금하지 않으면 고객정보 유출 사실을 공개하겠다”고 협박한 것으로 조사됐다.

경찰은 해커가 인터파크 측에 보낸 이메일 중 1건에서 ‘총적으로 쥐어짜면’이라는 북한식 표현이 쓰인 점도 북한 소행임을 뒷받침하는 근거로 보고 있다. ‘총적’은 북한 사전에 있는 말로 ‘총체적인’,‘총괄적인’ 이라는 뜻이다.

경찰 관계자는 “북한이 우리 기반시설 공격을 넘어 국민 재산을 탈취하려는 범죄적 외화벌이에까지 해킹 기술을 이용한다는 사실이 확인된 최초 사례”라며 “정부 합동조사팀과 긴밀히 공조수사하고 있다”고 말했다.

이민영 기자 min@seoul.co.kr