서울대병원 개인정보 유출, 북한 소행이었다... "해킹조직 '김수키' 연관"

지난 2021년 발생한 서울대학교병원 개인정보 유출사건이 북한 해킹조직의 소행으로 드러났다. 경찰이 같은 해 7월 신고를 받아 수사에 착수한 지 약 2년 만이다. 

경찰청 국가수사본부 사이버수사국은 10일 서대문구 미근동 경찰청에서 열린 수사 결과 브리핑에서 "북한 해킹조직이 서울대병원 서버의 취약점으로 내부망에 침임해 환자 81만여명, 전‧현직 직원 1만7천여명 등 약 83만명의 개인정보를 유출하거나 유출한 정황이 확인됐다"고 밝혔다. 

이중 유출된 개인정보 건수는 직원 2천명이다. 나머지는 유출 정황만 확인됐다. 

경찰은 그간 북한 해킹조직에 의한 주요 정보통신망 침입사건과 비교해 이번 사건의 경우에도 ▲공격 근권지의 아이피(IP) 주소 ▲인터넷 사이트 가입정보 ▲아이피(IP) 주소 세탁 기법 ▲시스템 침입‧관리 수법 ▲북한 어휘 사용 등이 같다는 점을 근거로 북한 해킹조직의 소행으로 판단했다. 

북한 해킹조직은 2021년 5월부터 6월까지 국내‧외 소재한 서버 7대를 장악해 공격기반을 마련한 것으로 확인됐다. 서버 7대 중 4대는 국내 서버, 3대는 해외 서버였다. 

이들은 과거 북한 해킹조직이 사용했던 아이피(IP)로 서울대병원 내부망에 침투해 계정을 부정하게 생성했다. 아이디는 'default', 비밀번호는 '다치지 말라'를 사용했다. "'다치지 말라'는 우리말로는 상대에게 하는 말이지만 북한어로는 '건드리지 말라'는 뜻으로 통용된다"는 게 국수본 관계자의 설명이다. 

국수본 관계자는 "북한 해킹조직은 7대 서버를 동원해 침입을 시도하다 '취약점'을 통해 침입 경로를 확보했다"며 "웹셸이라는 악성코드를 깔고 데이터베이스를 유출하거나 피해기관의 모니터 화면을 직접 중계했다"고 설명했다. 

그러면서 "북한 해킹조직은 83만명의 병리정보 등 진료기록을 노린 것으로 보인다"며 "병리정보는 통상 조직검사, MRI 및 CT 등 검사 결과로 보면 된다"고 부연했다. 

이에 '유출된 83만명에 주요 인사 정보도 포함되나'라는 질문에는 "(수사 기밀이라) 말씀드릴 수 없다"고 답했다. 

또 '배후를 밝히는 데 2년이나 소요된 이유'를 묻자 "2년 전 피해 사실이 드러난 직후 일부에서 '북한 조직 소행'이라고 얘기했던 건 아이피로만 추정한 것"이라며 "수사기관에서 한 가지 근거만 갖고 발표하는 건 무책임하다고 생각한다. 서버와 경유 시스템 등 종합적으로 수사해야 했기 때문에 장기간 소요됐다"고 했다. 

아울러 이번 범행이 과거 북한 해캥조직으로 유명한 '킴수키'와 연관 있을 가능성에 대해선 "어느 정도 관련은 있다"고 답했다. 

국수본은 "국가 배후의 조직적 사이버 공격에 대해 치안 역량을 총동원해 적극 대응하겠다"며 "의료 분야 외 다른 분야의 주요 정보통신망에 대해서도 북한 해킹조직이 침입 시도를 계속할 것으로 예상되므로 보안 업데이트 적용 등 보안정책을 강화해 달라"고 당부했다.