서울 지하철 1~4호선을 운영하는 서울메트로가 지난해 7월 북한으로 추정되는 사이버테러 조직으로부터 최소 5개월 이상 해킹을 당했던 사실이 뒤늦게 드러났다.
5일 서울메트로가 국회 국토교통위 하태경(새누리당) 의원에게 제출한 ‘해킹 사고 조사 결과 보고’자료에 따르면 지난해 7월 북한으로 추정되는 사이버테러 세력이 서울메트로의 ‘PC 관리 프로그램 운영서버’ 등 서버 2대를 해킹해 PC 213대에 이상 접속 흔적을 남긴 것으로 확인됐다. 해당 서버는 서울메트로의 업무용 PC를 관리하는 서버로, 업무용 PC에 원하는 프로그램을 설치하고 업데이트를 할 수 있다. 이중 PC 58대는 악성코드에 감염됐다.
이런 사실을 발견한 서울메트로 측은 해킹사실을 국가정보원 국가사이버안전센터에 신고했고, 국정원이 지난해 9월 1일부터 5일까지 6개월 분량의 로그인 기록에 대해 조사를 벌였다.
국정원 조사결과에 따르면 이번 해킹에 사용된 수법은 2013년 방송사와 농협 등 금융기관 전산망을 마비시킨 것과 같은 ‘APT(Advanced Persistent Threat)’방식으로, 북한 정찰총국 소행으로 추정된다. 국정원은 그러나 최초 해킹 시기와 해킹 주체를 정확하게 확인하지는 못했다.
이후 서울메트로는 업무용 PC 4,240대를 포맷한 후 사용했고, 보안관제시스템과 APT대응 시스텝 통합로그관리시스템을 구축했다. 또 자체적으로 정보통신(IT) 전문가를 채용하고, 정보보안팀도 신설했다.
서울메트로 측은 이날 브리핑을 열고 업무용 PC관리 서버와 지하철 관제시스템 서버는 분리돼 있어 지하철 운행안전에는 이상이 없다고 밝혔다. 이정원 서울메트로 사장은 “업무용 PC 서버와 관제시스템 서버는 일체 연결이 없는 단독망으로 운영되고 있어 당시 해킹은 열차 운행과 전혀 관계가 없다”면서 “정보 유출이 12건 있었으나, 역대 임원현황이나 업무 보고서 등으로 중요한 정보는 아니다”라고 말했다.
한편 서울메트로에 대한 사이버 공격은 2013년 18만4,578건, 지난해 37만713건, 올해 9월까지 35만 188건 등 해마다 증가하고 있다.
손효숙기자 shs@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0