“2년전 서울대병원 해킹도 北조직 ‘킴수키’ 소행”

경찰 “환자-직원 83만명 정보 유출”
또 다른 해킹에 악용될 우려 나와

2021년 발생한 서울대병원 해킹 및 개인정보 유출 사건은 북한 정찰총국 산하 해킹조직 ‘킴수키(kimsuky)’의 소행으로 파악됐다. 경찰은 북한 해킹조직이 국내 주요 인사들의 개인정보를 빼내기 위해 대형 병원을 타깃으로 삼은 것으로 보고 있다.

10일 경찰청 국가수사본부에 따르면 2021년 북한의 해킹으로 서울대병원 환자 81만 명과 전·현직 직원 1만7000여 명 등 약 83만 명의 개인정보가 유출됐다. 경찰청 관계자는 “직원 2000여 명의 개인정보는 북한에 넘어간 것으로 확인됐으며 나머지 직원과 환자의 개인정보 유출 여부는 확인 중”이라고 말했다. 서울대병원은 이명박 전 대통령 등 정재계 인사 다수가 진료를 받은 곳이어서 개인정보가 북한에 넘어갔을 경우 또 다른 해킹에 악용될 수 있다는 우려가 나온다.

경찰에 따르면 해킹조직은 2021년 5월부터 국내 인터넷 서비스를 제공하거나 웹서버를 임대하는 국내 서버 4대와 해외 서버 3대를 장악했다. 그리고 이를 기반으로 해킹 취약점이 발견된 서울대병원 서버를 공격해 직원 내부망에 침투한 것으로 조사됐다.

경찰은 해킹 공격 근거지의 인터넷주소(IP)와 IP 세탁 기법, 시스템 침입 및 관리 수법 등을 분석해 기존 북한의 해킹과 유사하다는 것을 확인하고 북한 해킹조직 킴수키의 소행으로 결론 내렸다.

병원 내부망 윈도 계정 비밀번호를 북한식 말투로 설정한 정황도 북한 측 소행임을 뒷받침하는 근거가 됐다. 경찰 관계자는 “해킹조직이 사용한 비밀번호는 북한식 표현인 ‘다치지 말라’였는데 이는 ‘건드리지 말라’는 뜻”이라며 “침입한 서버와 내부망 등 시스템을 그대로 두라고 (국내 보안 담당자 등에게) 전한 것으로 추정된다”고 설명했다.

해킹조직 킴수키는 국내외에서 활동하며 한국수력원자력, 한국원자력연구원 등을 해킹한 주체로 지목된다. 국방·안보·외교 전문가들에 대한 해킹과 가상자산을 노린 사이버 공격도 다수 시도한 것으로 전해졌다. 경찰 관계자는 “서울대병원이 국내 최고의 의료기관인 만큼 (주요) 인사들의 진료 정보를 빼내기 위해 범행을 벌인 것으로 추정한다”며 “주요 인사의 정보 유출 여부는 추가 공격 우려 등으로 밝힐 수 없다”고 말했다.

김기윤 기자 pep@donga.com