경찰이 최근 1000만여명의 고객정보가 유출된 대형 인터넷 쇼핑몰 인터파크 해킹사건은 북한의 소행으로 판단된다는 입장을 밝혔다.
경찰청 사이버수사과는 28일 오후 기자간담회를 열고 "정부합동조사팀과 초동수사·조사한 결과 이번 사건은 북 정찰총국 소행인 것으로 판단하고 있다"고 말했다.
경찰은 이번 사건을 북한의 해킹 소행으로 판단한 근거로 ▲사용된 IP주소 ▲악성코드의 유사성 ▲협박 메일에 쓰인 문체 등 세 가지를 제시했다.
우선 해킹메일을 발신하거나 해커 지령을 수신하기 위한 공격 경유지 IP 등이 북한 정찰총국이 대남 사이버공격을 위해 구축, 사용해온 것이라고 설명했다.
경찰에 따르면 북한이 사이버테러에 사용하는 IP주소는 중국 요녕성, 북한 체신성, 평양 류경동 등이다. 경찰은 올 3월부터 북한 체신성 관련 사건을 추적하던 중 발견한 IP주소가 이번 사건에서 경유지로 사용된 IP주소와 동일했다고 부연했다.
이와 함께 해킹에 이용된 악성코드를 분석한 결과 설치 경로, 삭제명령어 작성 방식 등이 과거 북한이 사이버테러에 사용했던 방식과 상당 부분 유사하다고 강조했다.
2012년 6월 언론사 전산망 해킹사건, 2013년 6월25일 청와대 홈페이지 공격사건, 2014년 말 소니픽쳐스 해킹사건 등에서 발견된 북한 발 악성코드가 이번 건에서 발견된 것과 유사하다는 설명이다.
아울러 인터파크 임원급 등을 상대로 발송된 총 34건의 협박메일 중 1건에 '총적으로 쥐어짜면 난 움직일 마음이 없는 거에요' 등 북한식 표현이 사용됐다고 밝혔다.
'총적'은 북한 사전에 나오는 단어로 총체적, 전반적이란 의미이며 '쥐어짜면'이란 표현은 압박한다는 의미라고 경찰은 전했다.
경찰과 정부합동조사팀은 "이 사건은 북한이 우리의 기반 시설 공격을 넘어 국민의 재산을 탈취하려는 범죄적 외화벌이에까지 해킹기술을 이용하고 있는 것이 확인된 최초 사례"라며 "정부 차원에서도 심각성을 인식하고 북한의 사이버공격 전술 변화를 예의 주시하고 있다"고 전했다.
이어 "정부는 이번 사고를 계기로 유사한 협박에 대처함은 물론 북한이 절취한 개인정보를 이용해 제2, 제3의 또 다른 해킹 및 대국민 심리전을 자행할 것에 대비할 것"이라며 "국민들이 협박성 메일 수신이나 해킹 징후를 인지한 경우 관계기관에 신속히 알려주고 적극 협조해줄 것을 요청한다"고 당부했다.
조사팀은 "북한의 사이버 공격에 대응하기 위해 사이버안보 관련 법률 제정을 서두르겠다"며 "개인정보를 취급하는 모든 기관과 업체는 국민들이 유출 피해를 받지 않도록 망분리나 악성코드 모니터링 등으로 사이버 보안 대책 강화에 만전을 기해주기 바란다"고 말했다.
앞서 인터파크는 지난 25일 해킹을 당해 회원 1030만명의 정보가 사이버 범죄에 의해 침해당했다며 사과를 표시한 바 있다.
이번 사건은 이메일이나 웹문서를 통해 악성코드를 설치해 놓고 오랜 기간 잠복했다가 공격을 하는 APT(Advanced Persistent Threat) 해킹 방식으로 알려졌다. 새어나간 정보는 회원의 이름, 아이디(ID), 이메일주소, 주소, 전화번호이며 주민번호는 포함되지 않은 것으로 파악됐다.
경찰 관계자는 "보안시스템을 위해 침입방지 시스템 방화벽 등 설치 운영, 통신 암호화 저장, 백신 설치 운영, 접속기록 유지 보존 등 지켜야하는 4가지 의무 사항이 있다"며 "만약 인터파크 측이 이 중 하나라도 지키고 있지 않다가 이번 해킹을 당한 것으로 확인되면 형사처벌할 예정"이라고 덧붙였다.
(뉴시스)