서울 대형 대학병원 전산망, 北 해킹에 8개월간 뚫렸다 기사의 사진
북한 정찰총국으로 추정되는 해킹 세력이 국내 한 대학병원 전산망을 완벽하게 장악했던 것으로 드러났다. 경찰은 북한이 병원 업무 마비를 노린 사이버 테러를 준비했던 것으로 보고 있다. 해당 병원은 해킹 사실도 모른 채 8개월간 무방비로 노출돼 있었다.

경찰청 사이버안전국은 북한이 지난해 8월쯤부터 서울 A대학병원의 전산망을 해킹해 지난 4월까지 장악했던 사실을 확인했다고 12일 밝혔다. 경찰청 사이버테러대응센터 정석화 수사실장은 “북한이 A대학병원 전산망을 완전히 통제할 수 있는 상태로 발견됐다. 병원 내 모든 컴퓨터를 마음대로 제어할 수 있는 상황이었다”고 설명했다.

병원은 경찰이 해킹 사실을 확인한 직후 보안 프로그램을 업데이트해 피해를 막았다고 한다. 전산망이 비교적 오랫동안 장악된 상태였지만 실제 사이버 공격이 이뤄진 흔적은 없었다. 유출된 개인정보도 없는 것으로 조사됐다.

경찰은 국내 대형 정보통신(IT) 보안업체 ‘하우리’ 측이 해킹당한 정황을 포착해 수사하는 과정에서 이 병원 전산망이 뚫린 사실을 확인했다. 이 병원은 하우리가 납품한 보안제품(백신)을 사용하고 있었다.

해커는 하우리에서 기술영업을 담당하는 직원의 사내 컴퓨터를 해킹해 해당 백신의 취약점을 알아낸 것으로 파악됐다. 확인된 최초 해킹 흔적은 지난해 12월 8일이지만 해킹은 A대학병원을 뚫은 8월 이전부터 이뤄졌을 것이라고 경찰은 설명했다.

해당 직원 컴퓨터에서는 하우리가 국방부에 제출한 보안 시스템 구축사업 제안서 등 군 관련 문서 14건도 빠져나갔다. 다만 하우리 측이 작성한 문서여서 군사기밀은 아니라고 한다. 국방부도 하우리로부터 같은 백신을 납품받아 사용 중이지만 현재까지 확인된 해킹 피해는 없는 것으로 전해졌다.

경찰은 해킹을 시도한 인터넷 접속지 주소(IP)가 평양 소재로 나타난 점을 들어 북한 소행으로 확신하고 있다. IP는 2013년 3월 20일 방송사와 금융사 전산망을 동시다발로 마비시킨 사이버 테러 때와 일치했다고 한다. 그해 4월 민·관·군 합동대응팀은 해킹 수법과 인터넷 접속 기록 등을 토대로 3·20 사이버 테러가 북한 정찰총국 소행이라고 결론지었다.

해킹은 보안업체와 백신 사용 시스템이 통신을 주고받을 때 쓰는 서버를 경유해 전산망에 침투하는 방식으로 이뤄졌다. 보안업체는 통상 각 기관에서 사용하는 자사 백신을 업데이트할 때 서버를 거친다. 경찰도 하우리가 사용하는 서버를 추적하는 과정에서 A대학병원이 해킹된 사실을 확인했다.

정 실장은 “백신이 업데이트될 때 해당 백신이 깔린 모든 PC에 업데이트용 파일이 설치된다. 북한이 보안 프로그램을 해킹하면 악성코드를 그 보안 프로그램이 깔린 모든 PC에 심을 수 있다. 그래서 하우리 보안제품을 공격한 것으로 보인다”고 설명했다.

경찰은 북한이 해킹으로 병원 업무를 마비시켜 혼란을 유발하려 했을 것으로 본다. 방송사 금융사 한국수력원자력 등에 이어 대형병원까지 노렸다는 것이다. 정 실장은 “목적이 확인된 건 아니지만 통상 북한의 사이버 테러는 정보를 빼가려는 것보다 업무를 마비시키려는 목적이 더 강하다. 종합병원 업무가 마비되면 상당한 혼란이 발생할 수 있다”고 설명했다.

강창욱 기자 kcw@kmib.co.kr

트위터페이스북구글플러스