인터파크 해킹은 '북한 소행'

경찰청 사이버안전국 분석
"3개국 경유한 IP 4개, 북한 체신성발 해킹과 일치"
"해킹 통한 금품 요구는 외화벌이 수법으로 파악"

인터파크 회원 1030만명의 개인정보를 털어간 해킹 사건이 북한 소행으로 밝혀졌다. 외화벌이를 위해 해킹을 빌미로 금품을 요구하고 있다는 분석이다.

28일 경찰청과 정부합동조사팀에 따르면 인터파크 개인정보 해킹이 북한 정찰총국 소속 해커들이 사용하는 인터넷주소(IP) 경로 등을 거쳐 이뤄졌다. 경찰청 사이버안전국 관계자는 “해킹 메일을 발신하고 명령을 수신하는 IP 경유지, 악성코드의 동일성 등을 종합적으로 확인했을 때 북한 소행으로 판단한다”고 말했다.

북한 정찰총국 소속 해커들은 지난 5월 인터파크 데이터베이스(DB) 서버를 해킹해 전체 회원(2300만명)의 45% 수준인 1030만명의 고객정보를 빼냈다. 인터파크 직원에게 동생을 사칭해 악성코드를 심은 이메일을 보낸 뒤 해당 PC를 장악했다. 원격으로 이 PC를 제어하면서 고객 정보망에 접속한 것으로 알려졌다. 이후 지난 4일부터 34차례에 걸쳐 인터파크 측에 “개인정보 유출 사실을 외부에 공개하겠다”며 30억원 상당의 비트코인을 요구했다.

경찰은 해킹에 쓰인 경유지 3개국의 IP 4개가 기존 북한 체신성 해킹 세력이 쓰던 IP와 일치한다는 점을 북한 소행의 핵심 근거로 내세웠다. 북한 체신성 IP는 2009년 청와대 등 정부기관과 금융회사를 해킹한 ‘7·7 분산서비스 거부(DDoS·디도스) 대란’과 2012년 6월 중앙일보 전산망 해킹 등에 쓰인 IP와 동일하다. 해커들이 사용한 국내 포털사이트의 이메일 주소도 기존 체신성 해커 세력과 같은 것으로 확인됐다.

경찰은 인터파크 임원진에 보낸 협박 메일에 쓰인 ‘총적으로 쥐어짜면’이라는 말도 북한에서 ‘총체적으로 압박한다’는 의미로 사용하는 표현이라고 설명했다. 경찰 관계자는 “북한이 기반시설 공격을 넘어 금전을 탈취하려고 해킹 기술을 이용한다는 사실이 확인된 최초 사례”라고 말했다.

심은지 기자 summit@hankyung.com