北, 34통 협박 메일 보내다 들통나
[일요서울 | 변지영 기자] 경찰이 최근 1000만여명의 개인 고객정보가 유출된 대형 인터넷 쇼핑몰 인터파크 해킹사건의 배후에 북한이 있다고 판단된다는 입장을 밝혔다. 경찰과 정부합동조사팀은 이 사건이 경제 제재로 재정난을 겪고 있는 북한이 외화벌이에 해킹기술까지 이용한 것이 확인된 최초 사례라며 정부 차원에서도 심각성을 인식하고 북한의 사이버공격 전술 변화를 예의 주시하고 있다고 밝혔다.
경찰청 사이버수사과는 28일 오후 기자간담회를 열고 “정부합동조사팀과 초동수사·조사한 결과 이번 사건은 북 정찰총국 소행인 것으로 판단하고 있다”고 말했다.
경찰은 이번 해킹사건에 ▲사용된 IP주소 ▲악성코드의 유사성 ▲협박 메일에 쓰인 문체 등 세 가지를 제시하며 북한의 소행으로 볼 근거가 충분하다고 설명했다.
보통 해커들이 해킹 이메일을 보낼 때 거짓으로 다른 IP주소를 사용한다.
경찰에 따르면 북한이 사이버테러에 사용하는 IP주소는 중국 요녕성, 북한 체신성, 평양 류경동 등이다. 경찰은 이번 사건에 사용된 3개국의 IP주소 네 개가 과거 북한 체신성의 해킹 공격 때의 IP주소와 일치한다고 밝혔다.
이와 함께 해킹에 이용된 악성코드를 분석한 결과 설치 경로, 삭제명령어 작성 방식 등이 과거 북한이 사이버테러에 사용했던 방식과 상당 부분 유사하다고 강조했다. 경찰은 “같은 집단이 아니라면 나올 수 없는 정보들이 중복돼 나왔다”고 말했다.
2012년 6월 언론사 전산망 해킹사건, 2013년 6월25일 청와대 홈페이지 공격사건, 2014년 말 소니픽쳐스 해킹사건 등에서 발견된 북한 발 악성코드가 이번 건에서 발견된 것과 유사하다는 설명이다.
아울러 인터파크 임원급 등을 상대로 발송된 총 34건의 협박메일 중 1건에 ‘총적으로 쥐어짜면 난 움직일 마음이 없는 거에요’ 등 북한식 표현도 사용됐다고 밝혔다.
‘총적’은 북한 사전에 나오는 단어로 총체적, 전반적·총체적이란 의미이고 ‘쥐어짜면’이란 표현은 압박한다는 의미라고 경찰은 전했다.
정부는 “이번 사고를 계기로 유사한 협박에 대처함은 물론 북한이 해킹한 개인정보를 이용해 제2, 제3의 또 다른 해킹 및 대국민 심리전을 자행할 것에 대비할 것”이라며 “국민들이 협박성 메일 수신이나 해킹 징후를 인지한 경우 관계기관에 신속히 알려주고 적극 협조해줄 것을 요청한다”고 당부했다.
조사팀은 “북한의 사이버 공격에 대응하기 위해 사이버안보 관련 법률 제정을 서두르겠다”며 "개인정보를 취급하는 모든 기관과 업체는 국민들이 유출 피해를 받지 않도록 망분리나 악성코드 모니터링 등으로 사이버 보안 대책 강화에 만전을 기해주기 바란다“고 말했다.
앞서 인터파크는 지난 25일 사이버 범죄로 회원 1030만 명의 정보가 침해당했다며 사과를 표시한 바 있다.
이번 사건은 이메일이나 웹문서를 통해 악성코드를 설치해 놓고 오랜 기간 잠복했다가 공격을 하는 APT(Advanced Persistent Threat) 해킹 방식으로 알려졌다. 새어나간 정보는 회원의 이름, 아이디(ID), 이메일주소, 주소, 전화번호이며 주민번호는 포함되지 않은 것으로 파악됐다.
한편, 경찰 관계자는 “보안을 위해 침입방지 시스템 방화벽 등 설치 운영, 통신 암호화 저장, 백신 설치 운영, 접속기록 유지 보존 등 지켜야하는 4가지 의무 사항이 있다”며 “만약 인터파크 측이 이 중 하나라도 지키고 있지 않다가 이번 해킹을 당한 것으로 확인되면 형사처벌할 예정”이라고 덧붙였다.
변지영 기자
bjy-0211@ilyoseoul.co.kr