이번 해킹에 사용된 IP와 악성코드가 과거 북한이 활용한 것과 유사하기 때문이다.
경찰청 사이버안전국은 "국가정보원 국가사이버안보센터와 합동조사팀을 꾸려 초동 수사한 결과, 이번 사건이 북한 정찰총국 소행인 것으로 판단했다"고 28일 밝혔다.
경찰은 북한에서 인터파크 여직원에게 남동생을 사칭해 악성코드를 심은 e메일을 보내 해당 PC를 장악한 것으로 보고 있다.
전산망을 공유하는 회사에서는 위장된 e메일을 단 1명이라도 클릭하면 악성코드가 핵심 서버를 장악할 수 있다는 게 경찰의 설명이다.
해킹메일을 발신하거나 해커 지령을 수신하기 위한 공격 경유지 IP 등은 북한 정찰총국이 대남 사이버공격을 위해 구축·사용한 것으로 밝혀졌다.
경찰 관계자는 "이번 해킹 공격 IP는 2009년 청와대 등 정부 기관과 금융사 포털사이트를 공격한 7·7 디도스 공격, 2012년 6월 중앙일보 전산망 해킹, 2013년 6월 청와대·국무조정실 홈페이지 등을 노린 6·25 공격에 쓰인 IP와 같다"고 설명했다.
또 해킹에 이용된 악성코드는 과거 북한이 사이버테러에 사용했던 것과 상당 부분 유사한 것으로 드러났다.
해커는 지난 5월 해킹에 성공하자 이달 4일부터 인터파크 임원들에게 보낸 34건의 협박메일을 보내면서 30억 원 상당의 비트코인을 요구했는데, 이 과정에서 '총적으로 쥐어짜면' 등 북한식 표현이 등장하기도 했다.
'총적'은 '총체적이며 총괄적인, 또는 그런 것'이라는 의미의 북한어다.
경찰 관계자는 "북한이 경제 제재로 외화벌이가 어려워지자 금전적 이익을 얻으려 해킹 기술을 이용하는 것을 처음 확인한 사례"라며 "정부 차원에서도 심각성을 인식하고 북한의 사이버공격 전술 변화를 예의 주시하고 있다"고 말했다.