사회 사회일반

"인터파크 해킹은 北 소행" 경찰 초동수사 결과 발표

예병정 기자

파이낸셜뉴스

입력 2016.07.28 17:20

수정 2016.07.28 17:20

1030만명 개인정보 유출
"北 정찰총국 IP 이용돼 해킹으로 외화벌이 정황"
1030만명의 개인정보가 유출된 인터파크 개인정보 해킹 사건은 북한의 소행으로 판단됐다. 경제제재로 외화벌이가 어려워지자 해킹으로 금전적 이익을 얻으려 했던 것으로 추정된다.

경찰철 사이버안전국과 정부합동조사팀은 인터파크 고객정보 해킹 및 협박사건 초동수사.조사 결과 이번 사건이 북한 정찰총국 소행인 것으로 판단된다고 28일 밝혔다.

북한의 소행으로 판단한 핵심 근거는 해킹 메일을 발신하거나 해킹 지령을 수신하기 위한 공격 경유지의 IP(인터넷 주소) 등이 북한 정찰총국이 대남 사이버공격을 위해 구축.사용한 것으로 확인됐기 때문이다.

북한의 해킹 공격은 IP를 여러 경유지를 거쳐 우회하는 기법이 주로 활용되고 있다. 이에 따라 경유한 IP가 과거 북한의 해킹사건에서도 이용된 IP라면 북한에 의한 해킹으로 판단할 근거가 된다.


경찰청 관계자는 "지난 3월부터 추적하고 있던 체신성(북한 정찰총국 소속)의 해킹사건에 이용된 IP와 인터파크 해킹에 이용된 IP를 분석한 결과, 해킹에 쓰인 경유지 3개국의 IP 4개가 동일하다"며 "다른 사건에서 동일한 IP 주소를 활용됐다면 공격 주체가 같지 않고서는 불가능하다"고 설명했다.

이번에 이용된 IP는 지난 2009년 청와대 등 정부기관과 금융사, 포털사이트를 공격한 7.7 디도스(DDoS·분산서비스거부) 공격, 2012년 6월 중앙일보 전산망 해킹, 2013년 6월 청와대·국무조정실 홈페이지 등을 공격한 6.25 공격에 쓰인 바 있다.

동일한 IP가 이용됐다는 점과 함께 해킹에 이용된 악성코드를 분석한 결과, 흔적을 삭제하는 수법이 과거 북한이 사이버테러에 사용했던 악성코드와 상당히 유사한 것으로 조사됐다.

34건의 협박 메일 가운데 1건에서 '총적으로 쥐어짜면' 등의 북한식 표현이 사용됐다는 부분도 확인했다. '총적'은 북한어로 총괄적이라는 의미다.


경찰은 이번 사건을 해킹을 외화벌이에 이용한 첫번째 사례로 보고 있다. 실제 해킹 세력은 인터파크 사장에게 메일로 30억원 상당의 비트코인(온라인 가상화폐)을 요구한 것으로 전해진다.


경찰청 관계자는 "북한이 절취한 개인정보를 이용해 제2, 제3의 또 다른 해킹 및 대국민 심리전을 자행할 것에 대비해야 한다"며 "협박성 메일이나 해킹 징수를 인지하면 초기에 즉각 대응할 수 있도록 관계기관에 신속히 알려달라"고 당부했다.

coddy@fnnews.com 예병정 기자

fnSurvey