서울대학교 병원 약 83만명의 개인정보를 유출한 사건이 북한 해킹조직의 소행으로 경찰이 잠정 결론 내렸다.
경찰청 국가수사본부 사이버수사국은 2021년에 발생한 서울대학교병원 개인정보 유출사건을 수사한 결과 북한 해킹조직의 소행으로 확인했다고 10일 밝혔다.
경찰은 해킹조직이 해킹시 사용했던 비밀번호로 북한 어휘 ‘다치지 말라’를 사용한 점 등을 주요 근거로 들었다. 이를 남한 말로 바꾸면 ‘건들지 말라’인데 해킹으로 장악한 시스템을 건들지 말라는 의미를 담은 것으로 추정된다.
북한 해킹조직은 2021년 5~6월쯤께 국내 4대·해외 3대 총 7대 서버를 장악해 공격기반을 마련한 뒤 서울 예화동에 있는 서울대학교병원의 정보를 빼냈다.
해킹 조직은 내부망에 침입해 환자 81만여명, 전·현직 직원 1만7000여명 등 약 83만명의 개인정보를 유출하거나 유출한 정황이 드러났다.
경찰은 병원 직원 2000명의 개인정보는 실제로 유출돼 북한 해킹조직이 사용한 서버에 저장됐던 것으로도 확인했다. 다만 유출된 개인정보가 다른 범죄에 이용되는 등 ‘2차 피해’는 나타나지 않았다.
경찰은 북한 해킹조직이 유출한 개인정보를 확인한 결과 공통으로 병리검사 서버를 공격했으며, 그중 조직검사에 대한 정보를 노린 것으로 파악했다.
이승운 경찰청 국가수사본부 사이버수사국 사이버수사대장(경정)은 “유출된 개인정보에는 진료정보가 포함됐는데 자타공인 국내 최고 의료기관을 대상으로 (해킹조직이) 원하는 인사들의 개인정보를 빼내기 위한 목적이 있었던 것으로 추정한다”고 말했다.
경찰은 공격 근원지의 아이피(IP) 주소, 인터넷 사이트 가입정보, 아이피(IP) 주소 세탁 기법, 시스템 침입·관리 수법 등이 같고, 북한어휘를 사용하는 점 등을 근거로 해당 사건을 북한 해킹조직의 소행이라고 판단했다고 설명했다.
북한 해킹조직은 피해 시스템에서 북한어휘를 이용해 비밀번호를 생성해 사용한 것으로 나타났다. 영문모드에서 한글자판으로 입력한 비밀번호를 해독해보니 ‘다치지 말라’인데 이는 북한식 표현으로 남한 어휘로 바꾸면 ‘건들지 말라’는 의미다.
이 대장은 “암호화돼 있던 비밀번호를 복구해 확인했다”며 “그간 남한에 해킹 공격을 시도했는데 압수되고 없어지고 장악했던 시스템을 건드리지 말라는 메시지로 추정된다”고 설명했다.
경찰은 서울대병원 측 정보관리 책임자에 대한 수사도 이어갈 전망이다. 이 대장은 “개인정보보호위원회에서 서울대병원에 과징금·과태료 부과 의결 사항에 따라 수사 여부를 검토할 예정”이라고 말했다.
경찰청은 피해기관에 침입 및 정보유출 수법과 재발 방지를 위한 보안 권고사항을 설명했으며, 관계기관에 북한 해킹조직의 침입 수법·해킹 도구 등 관련 정보를 제공해 정보보호 정책 수립에 활용하도록 했다.