X

北 해킹에 털린 서울대병원…남긴 비밀번호는 '다치지 말라'

이소현 기자I 2023.05.10 12:07:37

경찰, 83만명 개인정보 유출 사건 소행 확인
서울 혜화동 타깃…주요인사 조직검사 정보 노린듯
해킹에 사용한 비번 남한 어휘로는 '건들지 말라'
정보관리 책임자 수사 검토…"보안정책 강화해야"

[이데일리 이소현 기자] 서울대학교 병원 약 83만명의 개인정보를 유출한 사건이 북한 해킹조직의 소행인 것으로 드러났다. 경찰은 해킹조직이 해킹시 사용했던 비밀번호로 북한 어휘 ‘다치지 말라’를 사용한 점 등을 주요 근거로 들었다. 이를 남한 어휘로 바꾸면 ‘건들지 말라’인데 해킹으로 장악한 시스템을 건들지 말라는 의미를 담은 것으로 추정된다.

북한 소행 서울대병원 해킹 및 개인정보 유출사건 개요도(자료=경찰청)
경찰청 국가수사본부 사이버수사국은 2021년에 발생한 서울대학교병원 개인정보 유출사건을 수사한 결과 북한 해킹조직의 소행으로 확인했다고 10일 밝혔다.

북한 해킹조직은 2021년 5~6월께 국내 4대·해외 3대 총 7대 서버를 장악해 공격기반을 마련했다. 서울 종로구 혜화동에 있는 서울대학교병원이 해킹 타깃이었다. 병원 서버의 취약점을 발견한 해킹 조직은 내부망에 침입해 환자 81만여명, 전·현직 직원 1만7000여명 등 약 83만명의 개인정보를 유출하거나 유출한 정황이 나타났다.

경찰은 병원 직원 2000명의 개인정보는 실제로 유출돼 북한 해킹조직이 사용한 서버에 저장됐던 것으로도 확인했다. 다만 유출된 개인정보가 다른 범죄에 이용되는 등 ‘2차 피해’는 나타나지 않았다.

경찰은 북한 해킹조직이 유출한 개인정보를 확인한 결과 공통으로 병리검사 서버를 공격했으며, 그중 조직검사에 대한 정보를 노린 것으로 파악했다. 이승운 경찰청 국가수사본부 사이버수사국 사이버수사대장(경정)은 “유출된 개인정보에는 진료정보가 포함됐는데 자타공인 국내 최고 의료기관을 대상으로 (해킹조직이) 원하는 인사들의 개인정보를 빼내기 위한 목적이 있었던 것으로 추정한다”고 말했다.

국회 정보위원회 소속 의원들은 2년 전 서울대병원 개인정보 유출사건과 관련, 아이피(IP) 주소를 추적한 결과 북한 정찰총국 산하 조직 ‘김수키(kimsuky)’의 소행으로 추정된다고 밝혔다.

그간 북한 해킹조직에 의한 주요 정보통신망 침입 사건을 여러 차례 수사한 경찰도 기존 북한발로 규명된 다수 사건과 비교한 결과 김수키 소행으로 추정되며, 이에 대한 근거로 공격 IP 주소를 포함해 총 5가지 단서를 들었다. 경찰은 △공격 근원지의 아이피(IP) 주소 △인터넷 사이트 가입정보 △아이피(IP) 주소 세탁 기법 △시스템 침입·관리 수법 등이 동일하다고 판단했다.

특히 북한 해킹조직은 피해 시스템에서 북한어휘를 이용해 비밀번호를 생성해 사용한 것으로 나타났다. 영문모드에서 한글자판으로 입력한 비밀번호를 해독해보니 ‘다치지 말라’인데 이는 북한식 표현으로 남한 어휘로 바꾸면 ‘건들지 말라’는 의미다. 이 대장은 “암호화돼 있던 비밀번호를 복구해 확인했다”며 “그간 남한에 해킹 공격을 시도했는데 압수되고 없어지고 장악했던 시스템을 건드리지 말라는 메시지로 추정된다”고 설명했다.

경찰은 서울대병원 측 정보관리 책임자에 대한 수사도 이어갈 전망이다. 이 대장은 “개인정보보호위원회에서 서울대병원에 과징금·과태료 부과 의결 사항에 따라 수사 여부를 검토할 예정”이라고 말했다.

경찰청은 피해기관에 침입 및 정보유출 수법과 재발 방지를 위한 보안 권고사항을 설명했으며, 관계기관에 북한 해킹조직의 침입 수법·해킹 도구 등 관련 정보를 제공해 정보보호 정책 수립에 활용하도록 했다.

북한 배후의 조직적 사이버 공격이 잇따르는 가운데 의료 분야 외 다른 분야에도 주요 정보통신망에 대한 침입 시도를 지속해서 할 것으로 예상된다. 경찰청 관계자는 “최신 보안 업데이트 적용, 불법적인 접속시도에 대한 접근통제, 개인정보를 포함한 중요 전산 자료 암호화 등 보안 시스템과 보안정책 강화가 필요하다”고 당부했다.

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지