북한의 사이버테러 조직이 서울 지하철 1~4호선을 운영하는 서울 메트로의 핵심 컴퓨터 서버(server)를 해킹해 최소 5개월 이상 장악했던 사실이 뒤늦게 밝혀졌다. 이번에 사용된 해킹 방식이 2013년 북한 정찰총국이 감행한 금융기관 사이버 테러 방식과 같다.
4일 서울 메트로가 국회 국토교통위원회 하태경 새누리당 의원에게 제출한 ‘해킹 사고 조사 결과 보고’ 자료에 따르면, 지난해 7월 서울 메트로의 모든 업무용 PC에 프로그램을 설치하고 업데이트할 수 있는 ‘PC 관리 프로그램 운영 서버’ 등 서버 2대가 해킹 당해 PC 213대에 이상 접속 흔적(인가받지 않은 사용자가 접속)이 확인됐고, PC 58대는 악성코드에 감염된 것으로 드러났다.
악성코드에 감염된 PC 중에는 지하철 운행을 실시간으로 감시하는 컨트롤 타워 역할을 하는 종합관제소와 지하철 전력 공급을 맡은 전기통신사업소 등 핵심부서의 PC가 포함됐다.
서울 메트로에 대한 사이버 공격은 2013년 18만4578건, 2014년 37만713건, 올해는 9월까지 35만 188건으로 해마다 증가하고 있었으며, 실제 해킹을 당한 사실이 확인되기는 이번이 처음이다.
국가정보원 국가사이버안전센터의 조사결과, 당시 해킹엔 2013년 3월 KBS·MBC 등 방송사와 신한은행·농협 등 금융기관의 전산망을 마비시킨 것과 동일한 수법인 ‘APT(Advanced Persistent Threat) 방식’이 사용됐다.
서울메트로 측은 “해커가 악성코드를 삽입한 사이트에 접속한 서울메트로 PC가 악성코드에 감염되면서 관리자 PC 및 서버의 권한이 탈취됐다”면서 “2013년 3월과 동일한 사이버테러 조직(북한 정찰총국)의 소행으로 추정된다”고 밝혔다.
서울 메트로는 국정원 조사 이후인 작년 9월 17일부터 한 달에 걸쳐 업무용 PC 전체인 4240대를 포맷(format)하는 등 비상조치를 내렸다.
