경찰이 최근 1,030만명의 고객 정보가 유출된 인터파크 해킹 사건을 북한 소행으로 지목했다. 국내 전산망 교란과 여론 분열 등을 목적으로 한 북한의 기존 사이버테러와 달리 금전적 대가를 요구했다는 점에서 외화벌이를 위해 해킹 패턴을 바꾼 것 아니냐는 분석도 나오고 있다.
경찰청 사이버안전국과 정부합동조사팀은 이번 개인정보 유출 건에 사용된 해외 인터넷주소(IP)와 악성코드 형식 등을 분석한 결과 북한 정찰총국이 주도한 범행으로 의심된다고 28일 밝혔다.
경찰이 북한을 사이버테러 진원지로 판단한 근거는 크게 3가지다. 우선 이번 해킹에 쓰인 경유지 3개국의 IP 4개가 과거 북측 체신성 해커들이 감행한 해킹 주소와 정확히 일치했다. 경찰은 올해 3월 체신성이 국내 IT업체의 사내 PC를 감염시키려 했던 사건을 추적하던 중 인터파크 건이 터지자 양측을 비교해 이런 사실을 밝혀냈다.
인터파크 서버에 침투한 악성코드 역시 북한발 해킹으로 결론이 난 2012년 중앙일보 전산망 해킹, 2013년 청와대ㆍ국무조정실 홈페이지 공격 사건에서 이용된 악성코드와 유사했다. 또 지난 3월 사건 당시 드러난 악성코드 제작 방식과 코드저장 위치는 물론 악성코드 작동으로 생성되는 파일명이 똑같았고, 두 사건에서 해커들이 동원한 국내 포털사이트 이메일 주소도 동일했다. 경찰청 관계자는 “아직 체신성 IP가 발견된 단계는 아니지만, 같은 공격 주체가 아니면 나올 수 없는 정보가 여럿 확인됐다”고 설명했다.
해커가 보낸 이메일 내용 34건 중 1건에서 ‘총적으로 쥐어짜면’이라는 북한식 표현이 등장한 점도 북한 소행설을 뒷받침하는 근거가 됐다. 북한 해커들은 인터파크 한 직원에게 악성코드를 심은 이메일을 전송해 PC를 감염시킨 뒤 회사 서버를 장악하는 수법을 쓴 것으로 조사됐다.
해커들은 정보 유출에 그치지 않고 이달 4일부터 인터파크 한 임원에게 이메일을 보내 “30억원 상당의 비트코인(가상화폐)을 송금하지 않으면 개인정보 유출 사실을 공개하겠다”고 협박했다. 지금까지 북한발 해킹이 정부기관이나 방위산업체 등을 표적으로 삼은 전례와 비교할 때 일반인을 타깃으로 하면서 돈까지 요구한 점은 이례적이라는 평가가 나온다.
경찰 관계자는 “북한이 국내 기반시설 공격을 넘어 금전적 이득을 노리고 해킹 기술을 활용한 최초 사례”라며 “국제사회의 경제 제재로 어려움이 가중되자 사이버테러를 통한 외화벌이에 나선 것으로 보고 있다”고 말했다.
양진하 기자 realha@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0