북한이 4차 핵실험 직전 지하철 통제 시스템을 생산 및 관리하는 국내 기업 A사 홈페이지를 해킹한 뒤 악성코드에 명령을 내리는 전진기지로 활용한 사실이 처음으로 확인됐다. A사가 개발한 통제 시스템은 현재 수도권과 지방 지하철 운영업체들이 사용하고 있다
26일 북한의 사이버 테러를 감시하는 국내 화이트 해커 모임인 이슈메이커스랩에 따르면 북한 정찰총국은 4차 핵실험 1개월 전인 지난해 12월 중순경 신종 악성코드로 A사 홈페이지를 해킹했다. 그런 다음 이 홈페이지의 관리자 권한을 빼앗아 신종 악성코드들에 지령을 내리는 서버로 활용한 것으로 파악됐다. 악성코드를 어느 곳에 침투시킬지, 침투한 악성코드로 어떤 파일을 빼낼지, 빼돌린 파일을 어느 곳으로 보낼지 등을 관리하는 역할을 한 셈이다.
이번에 발견된 악성코드 분석 결과 유포 조직이 2014년 서울지하철 1∼4호선을 운영하는 서울메트로 핵심 컴퓨터 서버를 해킹해 5개월 이상 장악했던 세력과 같은 것으로 밝혀졌다. 당시 서울메트로 PC 관리 프로그램 운영 서버 등 서버 2대가 해킹당해 PC 58대가 악성코드에 감염됐다. 또 PC 213대에서 외부 접속 흔적이 확인됐다. 현재로서는 A사에서 얼마나 많은 자료가 유출됐는지 확인되지 않고 있다.
이슈메이커스랩 사이먼 최 대표는 “지난해 12월 발견한 신종 악성코드에 A사 홈페이지 주소(IP주소)가 담겨 있어 조사를 해본 결과 확인 결과 해당 홈페이지의 관리자 권한이 북한 정찰총국에 완전히 넘어가 있던 상태였다”고 말했다. 서동일 dong@donga.com·곽도영 기자
▶A2면에 계속
About Dong-A Ilbo