북한, 서울메트로 컴퓨터 서버 해킹 의혹
■ 방송 : YTN 이슈오늘 (08:00∼10:00)
■ 진행 : 정찬배 앵커
■ 하태경, 새누리당 의원
북한으로 추정되는 테러 조직이 지난해 서울 지하철 1~4호선을 운영하는 서울메트로의 컴퓨터 서버를 해킹했다는 의혹이 제기됐습니다.
서울 시민이 매일 이용하는 지하철이 한동안 테러 위험에 노출됐다는 지적입니다. 국회 국토교통위원회 소속 하태경 의원을 연결해 자세한 소식을 알아보겠습니다.
하태경 의원님 안녕하십니까?
[인터뷰]
안녕하세요. 부산 해운대 기장군 하태경 의원입니다.
해킹을 당했다고요? 서울 메트로가?
[인터뷰]
네, 그렇습니다. 작년 7월 경에 확인을 했습니다. 그래서 서울메트로에서 국정원에 신고를 해서 국정원이 파악을 해 보니까 북한 소행이다.
그래서 한 5개월 이상, 북한에 의해서 서울 지하철 서버가 완전히 장악됐다는 사실이 확인된 겁니다.
그렇군요. 그러니까 작년 7월에 알게 된 거죠?
[인터뷰]
인지를 하게 된 겁니다.
그러면 언제부터 해킹을 한 거예요?
[인터뷰]
서울 지하철에서 자료를 받아보니까 북한소행으로 추정된다고 돼 있는데 그 이유는 두 가지입니다. IP하고 악성코드를
분석을 해서 확인한 건데요.
그게 북한이 쓰는 수법들이 있습니다. 그래서 이번에도 2013년 3.20테러라고 사이버테러가 있었는데 그때 썼던 IP과 악성코드와 똑같은 것이 계속 나타났기 때문에 북한 소행으로 지금 추정하고 있습니다.
그러니까 기존의 다른 공격방식과 비슷하다. 북한이 주로 행하던 방법과 비슷한 방식이다, 그런 말씀이시군요.
[인터뷰]
네, 똑같은 방식이라는 겁니다.
아까 제가 질문드렸던 것은 알게 됐다는 게 7월이라면 언제부터 했는지를 알아야 될 거 아닙니까? 그건 잘 모르나요?
어떻습니까?
[인터뷰]
그것을 로그기록을 통해서 알 수 있는데요. 그게 외부에서 침입한 기록들인데 서울지하철, 서울메트로는 6개월 동안의
로그기록만 보관을 합니다.
그래서 6개월 이전의 로그기록이 없어서 침투기록, 침투 시점을 지금 확인할 수가 없습니다. 이것은 서울메트로가 자기들 컴퓨터 서버 관리에 부실하다는 증거가 될 수가 있습니다.
그렇다면 6개월 전에도 해킹됐을 가능성은 있는 거네요?
[인터뷰]
아주 높은 거죠. 왜냐하면 최초에 침투했던 기록이 6개월 전에는 없었거든요. 그 전에 했다는 거 아니겠습니까? 그래서
6개월 이전에 침투했다는 건 100% 인 겁니다.
해킹은 당했는데 언제 당했는지도 모르고 있었다, 이 얘기 아닙니까?
[인터뷰]
그렇습니다.
그리고 나중에서야 그것도 알게 된 거고요. 서버를 해킹했다는 것, 컴퓨터 전문가는 아니십니다마는 이게 궁금합니다.
[인터뷰]
그 부분은 컴퓨터며 서버에서 제일 중요한 게 PC 관리 프로그램입니다. PC 관리한다는 것은 예를 들어서 우리가 백신을
계속 업데이트하잖아요.
그런 것까지 전부 다 관리한다는 건데 PC관리서버가 탈취당했습니다, 북한한테. 북한 소행으로 추정이 되지만 그 말은
지하철 서버가 100% 다 됐다. 군대로 치면 사령부를 장악당했다는 겁니다.
그렇죠.
[인터뷰]
그렇기 때문에 무기 발사 그런 것을 전부 다 북한이 할 수 있는 그런 시스템이 됐다. 따라서 굉장히 위험한 상황에 처한겁니다.
그러니까 서버예요. 이게 중간에 다른 컴퓨터와 다 연계돼 있는 서버입니다. 이 서버가 다른 PC과 연결이 다 되어 있는데 서버를 장악하면 그 서버와 연결돼 있는 PC는 다 장악됐다, 이렇게 볼 수 있는 거라고요?
[인터뷰]
그렇습니다. 그리고 서버와 PC관리 프로그램도 장악이 됐기 때문에 그 프로그램 운영하는 게 전쟁으로 치면 무기를 발사하고 군대를 배치하고 이런 게 다 장악이 됐다는 겁니다.
이게 북한이라면 북한의 누가 했을까요? 어느 조직일까요?
[인터뷰]
당연히 이 업무를 주로 전담하는 곳이 정찰총국입니다. 그래서 정찰총국이 총괄 지휘했을 가능성이 높고요.
북한이 최근 몇 년 간 집중적으로 사이버테러 하는 게 국가기관시설입니다.
그래서 원자력발전소를 했었고 얼마 전에는 항공쪽에도 했었습니다. 때문에 이번에 서울지하철 노린 것도 그렇게 특이한 일은 아닙니다.
국정원이 이 사안에 대해서 조사를 했었다고요?
[인터뷰]
했습니다. 서울메트로에서는 자기들만이 가지고 있는 자료가 유출이 돼서 국정원에 신고를 했고요. 그래서 국정원이
조사한 결과를 서울메트로에 통보를 했고 제 그 자료를 받은 겁니다.
그러니까 국정원 조사 결과 북한의 소행이 거의 확실하다라고 결론이 난 거고요.
[인터뷰]
그렇습니다.
이거 서울메트로뿐만 아니라 북한이 그동안 여러 차례 해킹을 한 적이 있습니다. 특히 지하철 1호선부터 4호선까지
북한이 다 통제를 하고 컴퓨터를 다 자기네들 멋대로 할 수 있다면 이거 어떻게 되는 겁니까? 별로 가정하고 싶지
않습니다마는...
[인터뷰]
예를 들어 신호체계를 바꿔놓았다든지 그러면 지하철 충돌이 일어나는 거죠. 그게 대형사고고 조그마한 사고도
전기쪽도 장악을 했었거든요.
그러니까 전기를 꺼버린다면 모든 게 급정지하게 되고 암흑 속에서 우리 서울 시민들이 고통을 겪어야 하고 이런
어마어마한 사고가 일어날 수 있었던 겁니다.
오늘 국토교통위에서 이 문제 지적하실 거죠?
[인터뷰]
네, 서울시 국감인데요. 거기서 꼼꼼히 따져볼 생각입니다.
한 가지만 마지막으로 여쭤볼게요. 어떻게 해야 될까요? 항상 북한이 이러면 나중에 그것도 뒤늦게 북한이었네 하고
그냥 넘어가야 되는 겁니까? 무슨 대책 없을까요?
[인터뷰]
이것도 전쟁이기 때문에 100% 예방할 수 있는 건 없습니다. 왜냐하면 우리가 방어 무기를 고도화하면 거기는 공격
무기를 고도화하는 거거든요.
하지만 최소한의 것들, 예를 들어서 이상조짐이 일어나면 알려주는 게 보안관제시스템인데. 서울메트로는 그것도
없었고요. 그다음에 또 한 가지는 직원들이 일단 많이 있어야 될 거 아닙니까? 보안팀에. 보안팀 자체가 없고
보안 담당하는 직원도 2명밖에 없습니다.
그러니까 서울메트로 같은 중요한 조직에 굉장히 취약한 보안 체계가 되어 있는 겁니다.
알겠습니다. 지금까지 국회교통위원회 소속 하태경 의원이었습니다. 오늘 말씀 고맙습니다.
[인터뷰]
네, 감사합니다.
http://www.ytn.co.kr/_ln/0101_201510050755132917
기사출처 : YTN
----------------------------------------------------------------------------------------------
서울메트로 컴퓨터 서버 해킹...얼마나 위험한가?
■ 구사무엘, 정보보안 전문가
서울메트로의 컴퓨터 서버가 해킹당한 사실이 뒤늦게 밝혀졌습니다. 무려 5개월 동안이나 주요 정보들이 노출된 건데요. 자세한 소식, 국내 최고의 화이트 해커 출신 구사무엘 정보보안 전문가 연결해 짚어봅니다.
서울 지하철, 하루에 시민 420만 명이 이용하고 있기 때문에 서울메트로의 컴퓨터 서버가 해킹당했다는 것은 매우
충격적인데요. 더군다나 다섯 달 동안이나 몰랐던 건데요. 그렇다면 해커 조직이나 해커들이 어떤 정보들을 빼갔다고
봐야 할까요?
[인터뷰]
해커가 이번 공격을 통해서 서울메트로의 각종 구성도나 임직원 명단 자료 등 서울메트로의 내부 구조를 파악할 수
있는 자료를 해킹해 간 것으로 보입니다. 이번에 해킹된 것이 5개월이다라고 알려져 있는데요. 서울메트로의 로그 관리
기간이 6개월뿐이어서, 그 전에 최초 해킹 시점이 언제인지 파악되지 못한 상태입니다.
그렇다면 더 오랜 시간 해커들한테 더 많은 정보가 노출됐다. 이런 의혹도 가질 수 있는데 문제는 메트로측에서는 해킹이
급여나 행정업무를 하는 컴퓨터들이다라고 밝히고 있지만 시민들이 가장 걱정하는 것은 정말 지하철 안전시스템과는
관련이 없는 것 아니면 관련이 있는 것 아니냐, 이런 걱정들이거든요. 정말 관련이 없는 걸까요?
[인터뷰]
앞서 말씀드린 것과 같이 로그 관리기간이 5개월밖에 안 되기 때문에 현재로서는 남아있는 5개월의 로그만으로밖에
파악할 수가 없습니다. 그래서 현재 빠져나간 것으로 추정되는 자료뿐만 아니라 추가적으로 자료가 나갔을 가능성도
있기 때문에 100% 안전을 확신할 수 있는 것은 아닙니다.
그러나 열차 운행과 직접적으로 연관되는 부분은 외부와 망 분리가 되어 있기 때문에 너무 사고를 직접적으로 염려
하지 않으셨으면 좋겠습니다.
그런데 방금 말씀해 주신 것처럼 운행 관련한 신호시스템은 별도의 망으로 관리하고 있기 때문에 안전운행, 운행을
통제하는데 전혀 문제가 없다, 이렇게 메트로측은 밝히고 있는데 보안전문가로서 만약에 이러한 망에 침입을 해서
그쪽 망의 들어갈 수 있는 가능성은 전혀 없는 겁니까?
[인터뷰]
사실상 업무를 하기 위해서는 완벽히 외부와 분리된다는 것이 어렵습니다. 중요한 업무 자료나 이런 것을 양쪽으로
오고가는 일이 벌어지게 되는데요. 그런 것을 위해서 USB를 사용하거나 망 연계 시스템이라는 것을 사용하게 되는데
그것을 통해서 다시 악성코드가 퍼질 가능성도 존재합니다.
그리고 5달 동안이나 정보가 해커들에게 노출된 사실. 즉 해킹당했다는 흔적을 발견하지 못했다가 뒤늦게 이것을
[인터뷰]
서울메트로도 방화벽과 디도스 차단시스템, 스펨메일 차단 시스템 등 보안에 핵심적인 장비들은 갖추고 있으나 그런
그리고 중요한 것은 과연 이 해킹을 누가 시도했느냐 아니겠습니까? 그런데 이 해킹수법이 지난 2013년이었죠.
[인터뷰]
지금까지 북한발 해킹으로 추정되는 사건이 6.25, 3.20, 3.4, 7.7 등 많은 공격이 있었는데요. 그중에 이번 공격과 가까이
만약에 이번 해킹도 북한의 사이버 테러 조직이 한 거라고 한다면 정말 큰일인데요. 혹시나 이번 해킹으로 인해서
[인터뷰]
제가 저번 3.20 때도 분석을 해 봤었는데 이번 공격 같은 경우 3.20과 매우 유사합니다. 3.20 때는 단순히 한 가지
이번에도 북한의 소행으로 추정이 되는데요. 지금 서울메트로뿐만 아니라 코레일도 얼마 전에 해킹당한 사실이
그런데 이렇게 중요한 공공기관의 해킹을 막기 위해서 지금 시급한 대책, 어떤 게 이루어져야 됩니까?
[인터뷰]
먼저 가장 크게 중요한 것은 두 가지 점입니다. 첫 번째는 외부와 업무 시스템 간에 망분리가 확실히 이루어져야 합니다. 지금 업무망과 인터넷망이 연결되어 있기 때문에 해킹된 바이러스나 이런 것이 침투가 가능하고요. 자료가 빠져나가는
두 번째로는 인력충원이 매우 중요하다고 생각을 합니다. 아무리 좋은 장비와 시스템을 갖추고 있어도 장비들은 알아서 모든 걸 다 처리해 주지 않습니다. 현재 그 장비를 다룰 인력의 충원이 중요한 것 같습니다.
알겠습니다. 서울메트로 컴퓨터서버 해킹과 관련해서 국내 최고의 화이트해커 출신 구사무엘 정보보안관과 함께 얘기를 나눠봤습니다. 오늘 말씀 고맙습니다.
[인터뷰]
감사합니다.
기사출처 : YTN