서울대병원 개인정보 80만건 탈취한 北…"세 차례에 걸쳐 공격"

검사결과‧진단명‧의학사진 등 민감 의료정보도 유출
2021년 5월 피싱 사이트 무더기 발견 …"병원·개인 타깃 가능성 모두 고려"

[아이뉴스24 김혜경 기자] 2년 전 발생한 서울대병원 개인정보 유출 사건은 북한 해킹조직의 소행인 것으로 드러났다. 검사결과와 진단명, 의학사진 등 민감한 의료정보를 포함해 80만건의 데이터가 유출된 것으로 확인됐다. 수차례 해킹을 시도했다는 점에서 특정인의 정보는 물론 기관 자체를 겨냥했을 가능성 모두를 고려해야 한다는 분석이 나온다.

2년 전 발생한 서울대병원 개인정보 유출 사건은 북한 해킹조직의 소행인 것으로 드러났다. 검사결과와 진단명, 의학사진 등 민감한 의료정보를 포함해 80만건의 데이터가 유출된 것으로 확인됐다. [사진=픽사베이]

10일 경찰청 국사수사본부와 개인정보보호위원회에 따르면 북한 해킹조직은 2021년 5~6월 국내외 서버 7대를 장악해 공격 기반을 마련한 뒤 서울대병원 내부망에 침입해 약 83만명의 개인정보를 탈취했다.

경찰은 공격 근원지의 IP 주소와 IP 주소 세탁 기법 등이 기존 북한 해킹조직의 수법과 동일하고 북한 표현을 사용하는 점 등을 근거로 제시했다.

조사 결과 총 세 차례에 걸쳐 개인정보가 탈취됐다. 첫 번째 공격은 2021년 6월께 이뤄졌다. 웹셸(Web Shell) 공격으로 유휴 서버 내부의 개인정보가 유출된 것으로 나타났다. 웹셸은 시스템에 명령을 내릴 수 있는 코드다. 웹서버 취약점을 통해 서버 스크립트가 게재되면 공격자는 원격으로 웹서버를 조종할 수 있다. 이 공격으로 2만2천20명의 개인정보가 유출됐다.

두 번째 공격이 포착된 것은 약 1년이 지난 시점이다. 공격자는 이미 확보한 계정정보를 이용해 병리자료 서버에 침입, 81만38명의 진료정보를 탈취했다. 이후 해커는 1차 공격과 동일경로를 이용해 내부망 전자사보 데이터베이스(DB)에 접속한 후 1천953명의 직원 정보를 빼돌린 것으로 확인됐다.

윤영덕 더불어민주당 의원실이 지난해 교육부로부터 제출받은 서울대병원 개인정보 유출 현황 자료 [사진=윤영덕 의원실]

개인정보위는 서울대병원에 7천475만원의 과징금과 660만원의 과태료를 부과했다. ▲고유식별정보 처리 제한 ▲안전조치 의무 ▲유출 통지의무를 위반했다고 판단했다. 개인정보 유출을 방지하기 위한 접근권한을 비롯해 암호화 등 안정성 확보에 필요한 조치를 제대로 하지 않았다고 봤다. 주민등록번호 등이 포함된 파일을 암호화해 저장하지 않거나 보안프로그램 업데이트를 실시하지 않았다는 것.

문종현 지니언스 시큐리티센터장은 "사건이 외부에 알려지기 전인 2021년 5월 해당 기관을 모방한 피싱 사이트가 포착된 바 있다"며 "대다수 유력 인사들이 서울대병원을 방문한다는 점에서 특정 개인을 목표물로 삼았을 가능성과 의료기관 자체를 겨냥한 경우 모두를 고려해야 한다"고 말했다.

앞서 2021년 11월에는 한 해커가 다크웹에 한국의 대학병원과 기업에서 탈취한 개인정보를 판매한다는 글을 올려 논란이 인 바 있다. 개인정보를 겨냥한 공격 유형은 사용 중인 계정을 탈취하거나 유출로 끝나지 않고 판매로 이어지고 있어 2차 피해 우려가 높다. 경찰청과 개인정보위 등에 따르면 현재까지 다크웹에 정보가 유출되지는 않았고, 2차 피해는 없는 상황이다.

국내 한 보안 전문가는 "수 차례 공격이 이뤄진 이유는 주요 인사들의 의료정보를 최대한 많이 확보하기 위한 목적으로 보인다"며 "최초 공격이 포착됐을 때 웹셸만 제거하고 취약점은 그대로 방치했기 때문에 3차 공격까지 이어질 수 있었던 것"이라고 설명했다.

이 전문가는 "당시 다크웹에 유출됐던 데이터의 경우 이번 사건과 관련된 공격자가 유출한 것인지 혹은 이전에 이미 유출됐던 것인지는 불분명하다"며 "다만 샘플을 살펴봤을 때 규모가 방대했을 뿐만 아니라 상당히 구체적이었다"고 전했다.

/김혜경 기자(hkmind9000@inews24.com)