경찰청 국수본 “2년 전 서울대병원 해킹 사건, 북한 소행”

0:00 / 0:00

앵커 : 한국 경찰청 국가수사본부가 지난 2021년 벌어진 서울대병원 해킹 사건이 북한의 소행이었다고 밝혔습니다. 서울에서 목용재 기자가 보도합니다.

지난 2021년 7월 6일, 한국의 서울대병원은 개인정보 유출과 관련한 공지문을 띄운 바 있습니다.

악성코드 감염을 통한 해킹 형태의 사이버공격이 확인됐고 이를 통해 병원 직원 및 환자들의 이름, 생년월일, 주소, 휴대전화 번호 등의 정보 유출이 의심된다는 내용이었습니다.

당시 일부 보안 전문가들과 하태경 국민의힘 의원은 서울대병원 해킹 사건에서 활용된 수법이 지난 2014년 한국수력원자력을 공격한 북한 해킹조직의 수법과 동일하다는 분석을 내놓은 바 있습니다. 반면 한국의 수사당국은 지난 2021년 7월 수사에 착수한 뒤 2년 가까이 공식적인 수사 결과를 내놓지 않고 있었습니다.

이와 관련해 한국 경찰청 국가수사본부 사이버수사국은 10일 기자설명회를 통해 “2021년 벌어진 서울대병원 해킹 및 개인정보 유출사건은 북한 소행”이라고 밝혔습니다. 국수본 관계자는 자유아시아방송(RFA)과의 통화에서 그동안 진행된 수사가 마무리돼 발표하게 된 것이라고 설명했습니다.

경찰 조사결과에 따르면 북한 해킹 조직은 지난 2021년 5월경부터 6월경까지 한국 내외에 소재한 서버 7대를 장악해 공격 기반을 마련하고 서울대학교병원 서버의 취약점을 찾아내 내부망으로 침입했습니다.

이를 통해 환자 81만여 명, 전·현직 직원 1만 7000여 명 등 약 83만 명의 개인정보가 유출되거나 유출된 정황이 확인됐습니다. 이 가운데 병원 직원 2000명의 개인정보는 북한 해킹조직이 사용한 서버에 실제 저장됐던 것으로 파악됐습니다.

한국 경찰은 기존 북한의 소행으로 규명된 다수의 사건과의 연관성을 분석해 서울대병원 해킹 사건도 북한의 소행인 것으로 결론을 내렸습니다.

경찰은 서울대병원에 대한 공격 근원지 온라인 주소, 즉 IP 주소와 인터넷 사이트 가입정보, IP 주소 세탁 기법, 시스템 침입·관리 수법 등이 기존 북한의 수법과 동일하다는 점을 북한 소행의 근거로 꼽았습니다.

특히 서울대병원 공격 과정에 북한 어휘가 사용된 것도 포착됐습니다.

경찰청 국수본 관계자는 자유아시아방송(RFA)과의 통화에서 “공격자가 서울대병원 내부 서버에 계정을 불가피하게 생성한 것이 확인됐는데 해당 계정의 비밀번호가 특수문자와 영문으로 조합된 것이었다”며 “영문을 한글로 치면 ‘다치지 말라’였는데, 이는 북한에서 ‘건드리지 말라’는 의미로 쓰인다”고 밝혔습니다.

경찰청 국가수사본부는 북한이 서울대병원에서 진료를 받은 주요 인사의 개인정보를 탈취하려고 해킹을 실행한 것으로 추정했습니다.

지난 2021년 서울대병원 해킹 사건 조사에 참여한 바 있는 문종현 지니언스 이사는 자유아시아방송(RFA)과의 통화에서 당시 북한이 탈취한 개인정보를 협박 수단이나 외화벌이를 위한 용도로 활용하려 했을 가능성을 제기했습니다.

특히 탈취한 개인정보를 토대로 특정인을 포섭해 간첩 행위를 시키려 했을 가능성도 제기했습니다.

문종현 지니언스 이사 :지난해 (북한이) 도박 빚이 있는 한국군 장교를 비트코인으로 포섭해 군 내부 정보를 빼내려는 사례가 있었기 때문에 서울대병원 해킹 사건도 민감한 개인 정보를 가지고 또다른 포섭 활동을 하려 했을 가능성이 있습니다. 또한 협박을 통한 외화벌이 수단으로도 활용하려 했을 가능성이 있었다고 보고 있습니다.

서울대병원 해킹 사건과 관련해 경찰청 국가수사본부는 “국가 배후의 조직적 사이버 공격에 대해 치안 역량을 총동원하여 적극적으로 대응함과 동시에 관계기관 정보공유 및 협업을 통해 추가적인 피해를 방지할 것”이라고 강조했습니다.

기자 목용재, 에디터 양성원, 웹팀 김상일