환자 7000명 정보 털렸다, 서울대병원 해킹 범인은 "北 김수키"

중앙일보

입력 2021.07.14 22:56

업데이트 2021.07.15 09:25

지난달 서울대병원이 사이버 공격을 받아 환자 약 7000여명의 개인정보가 유출된 사건의 배후가 북한 정찰총국 산하 해킹 그룹 '김수키'(Kimsuky)라는 분석이 나왔다. 하태경 국민의힘 의원실이 국내 북한 사이버 테러 전문 연구그룹에 의뢰한 조사 결과다.

서울 종로구 서울대학교병원 외경. 연합뉴스

서울 종로구 서울대학교병원 외경. 연합뉴스

하 의원실 의뢰로 서울대병원 해킹 관련 분석을 진행한 최상명 이슈메이커스랩 대표는 14일 중앙일보와 통화에서 "해킹 그룹 김수키가 활동을 시작한 2011년부터 10년동안 해킹 패턴을 추적한 결과, 김수키는 도메인을 수시로 바꾸는 전략을 쓰기 때문에 이를 역추적해 살펴봐야 한다"며 "지난해 10월 미국 정부에서 발표한 자료 등과 이번에 서울대학교 해킹 때 사용된 도메인을 비교하면 IP주소와 도메인이 다 연결된다는 걸 알 수 있었다"고 말했다.

하태경 의원실 의뢰로 민간업체 분석
"과거 김수키 해킹 당시 도메인과 연결"

앞서 미국 국토안보부 조사 결과 김수키 조직이 사용했다고 발표한 도메인과 이름이 같거나 유사한 도메인들이 이후에도 사이버 공격에 꾸준히 사용됐다는 설명이다. 김수키가 개인 정보를 빼가기 위해 병원 서버에 악성 코드를 심은 정황도 확인됐다고 한다.

북한 정찰총국 산하 해킹그룹 김수키의 서울대병원 해킹 시도 분석 자료. 하태경 국민의힘 의원실, 이슈메이커스랩 제공.

북한 정찰총국 산하 해킹그룹 김수키의 서울대병원 해킹 시도 분석 자료. 하태경 국민의힘 의원실, 이슈메이커스랩 제공.

서울대병원은 지난 6일 해킹 사실을 확인한 직후 교육부, 보건복지부, 경찰청 사이버수사대 등에 피해 사실을 신고했다. 경찰청 사이버수사대도 수사를 진행 중이다.
병원 측은 유출된 파일에는 환자들이 병원 방문 시 부여 받는 등록번호, 이름, 진료명 등이 담겼다고 밝혔다. 또 주민등록번호, 연락처, 거주지 등 개인정보는 포함되지 않았다고 설명했다. 하지만 북한의 해킹 공격이 사실로 확인될 경우, 서울대병원을 방문했던 정ㆍ재계 주요 인사들의 민감한 의료 정보를 탈취하기 위한 목적일 수 있다는 우려가 나온다.

앞서 국정원은 지난 8일 국회 정보위원회에서 원자력연구원과 한국항공우주산업(KAI)가 최근 사이버 공격을 당했으며 북한 혹은 북한 연계조직의 소행으로 추정된다고 보고한 바 있다. 이에 북한은 지난 12일 대외선전매체 우리민족끼리를 통해 "남조선에서 북 해킹 공격설을 대대적으로 유포시킨다"며 "무작정 북 소행으로 몰아가는 것이야말로 무지·무식의 극치가 아닐 수 없다"고 반발했다.

ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT

Innovation Lab

ADVERTISEMENT