경찰청 사이버안전국과 정보합동조사팀은 이번 해킹 사건에 사용된 인터넷 프로토콜(IP) 주소 등 지금까지 확인된 사실을 종합한 결과, 북한 정찰총국 소속 해커들의 소행으로 의심된다고 28일 밝혔다.

경찰은 해킹에 쓰인 경유지 3개국의 IP 4개가 과거 북한 체신성발로 감행된 해킹과 일치한다는 점, 과거 북한발 해킹 사건과 매우 유사한 악성코드를 쓴다는 점에서 북한 소행으로 볼 근거가 충분하다고 판단했다.

이들 IP는 2009년 청와대 등 정부 기관과 금융사 포털사이트를 공격한 7·7 디도스 공격, 2012년 6월 중앙일보 전산망 해킹, 2013년 6월 청와대·국무조정실 홈페이지 등을 노린 6·25 공격에 쓰인 IP다.

또 ‘총적’은 “총체적이며 총괄적인, 또는 그런 것”이라는 의미의 북한어라고 경찰은 설명했다.

경찰 관계자는 “아직 체신성 IP가 발견된 단계는 아니지만 체신성발로 확인된 다른 사건의 공격명령 서버 4개의 IP 주소가 이번 사건의 경유지 서버 주소와 정확히 일치한다는 점에서 같은 공격 주체로 판단된다”고 말했다.

해커는 올해 5월 고객정보 유출에 성공하자 이달 4일부터 인터파크 임원급 인사에게 협박 이메일을 보내 “30억원을 비트코인으로 송금하지 않으면 고객정보 유출 사실을 공개하겠다”고 말한 것으로 조사됐다.

경찰 관계자는 “북한이 우리 기반시설 공격을 넘어 국민 재산을 탈취하려는 범죄적 외화벌이에까지 해킹 기술을 이용한다는 사실이 확인된 최초 사례”라며 “정부 합동조사팀과 긴밀히 공조수사하고 있다”고 말했다.