"2년 前 서울대병원 해킹은 北 소행"…'건들지 마라' 북측 표현 암호로 써

경찰청 국가수사본부 결론
환자·직원 등 83만명 정보 유출 정황
한수원 해킹 ‘김수키’ 용의자로 지목
서울대병원에 과징금 7475만원 부과
公기관 첫 ‘개인정보 위법’ 제재 사례

83만명의 개인정보가 유출된 정황이 확인된 ‘서울대병원 해킹 사건’에 대해 경찰이 북한 해킹조직의 소행으로 결론 내렸다. 서울대병원에서 진료받은 주요 인사의 개인정보 등을 빼내기 위한 것으로 추정된다.

경찰청 국가수사본부는 10일 북한 해킹조직이 2021년 5∼6월 국내외 서버 7대를 통해 서울대병원 내부망에 침입, 환자와 직원 등 83만명의 개인정보를 유출한 정황이 드러났다고 밝혔다. 구체적인 해킹 주체는 아직 특정되지 않았지만, 경찰은 북한 정찰총국 산하 해커 조직인 ‘김수키’를 유력한 용의자로 지목했다. 김수키는 2014년 한국수력원자력을 해킹한 것으로 알려진 조직이다.

경찰청 국가수사본부 이승운 사이버테러수사대장이 10일 서울 경찰청에서 서울대병원 개인정보 유출 수사 결과를 브리핑하고 있다. 뉴시스

경찰은 기존 북한 해킹 조직 사건과 비교해 △공격 근원지의 아이피(IP) 주소 △인터넷 사이트 가입정보 △아이피 주소 세탁 기법 △시스템 침입·관리 수법 등이 같은 데다 ‘다치지 말라’는 북한 어휘를 사용한 점 등을 근거로 이 해킹을 북한 소행으로 판단했다. 경찰청 이승운 사이버테러수사대장은 “북 해킹조직이 생성한 비밀번호 ‘다치지 말라’는 북한 표현으로 ‘건들지 마라’는 뜻”이라며 “북한 조직이 장악한 시스템을 건들지 말라는 의미로 해석할 수 있다”고 설명했다.

경찰에 따르면 해킹 조직은 여러 대의 국내외 서버를 장악해 공격 기반을 마련한 뒤 서울대병원 내부망을 두드려보며 취약한 곳을 찾았다. 허술한 부분을 찾아 침입에 성공하면 이를 거점으로 공유폴더 등을 타고 여러 시스템에 있는 정보에 접근했다. 홈페이지 해킹에 주로 사용되는 웹셸(web shell)이라는 악성 코드를 웹게시판 업로드 기능 등에 심어 감염시킨 뒤 시스템 제어 명령이나 내부 모니터 화면 중계 등을 한 것으로 보인다.

외부에서 직접 유출된 정보가 확인된 사례는 병원 직원 약 2000명이며, 나머지는 확인되지 않았으나 관련 증거를 종합할 때 유출됐다고 판단할 수 있는 수준이다. 유출된 개인정보가 다른 범죄에 이용되는 등 2차 피해사례는 보고되지 않았다.

경찰은 서울대병원을 이용한 환자들의 조직검사 등 병리검사 결과를 모아놓은 서버에서 해킹이 이뤄졌다고 파악했다. 이승운 대장은 “해킹 조직이 병리검사가 저장됐던 서버를 해킹한 만큼 본인들이 원하는 인사의 개인정보를 빼내기 위한 것이 아닌지 추정하고 있다”고 말했다. 이어 “의료 분야 외 다른 분야에도 주요 정보통신망에 대한 침입 시도가 지속될 것으로 예상된다”며 “관계기관 등에 최신 보안 업데이트 적용, 불법적인 접속시도에 대한 접근통제, 개인정보를 포함한 중요 전산 자료 암호화 등 보안 시스템과 보안정책 강화를 당부했다”고 덧붙였다.

개인정보보호위원회는 이날 전체회의에서 개인정보 보호 조치를 소홀히 한 서울대병원에 과징금 7475만원과 과태로 660만원을 부과했다. 개인정보보호 법규 위반으로 공공기관에 과징금이 내려진 건 최초다. 경찰은 이러한 의결 결과를 반영해 병원 개인정보 보호책임자 입건 여부를 검토하고 있다.

정지혜 기자 wisdom@segye.com