[헤럴드경제=최진성 기자] 지난해 서울메트로에 가해진 사이버공격에 대해 국가정보원이 “북한의 소행으로 추정된다”고 공식 통보한 것으로 확인됐다. 다만 사이버공격을 당한 컴퓨터(PC) 관리 프로그램 운영 서버는 지하철 운행ㆍ신호시스템과 완전히 분리돼 있어 2차 피해는 없는 것으로 확인됐다.

5일 서울시와 서울메트로에 따르면 서울메트로는 지난해 8월 서울메트로의 로그(log)관리시스템을 조사한 국정원으로부터 “이번 해킹이 북한의 소행으로 추정된다”는 공식 결과를 통보받았다.

이는 북한 정찰총국이 2013년 3월 KBSㆍMBC 등 방송사와 신한은행ㆍ농협 등 금융기관을 해킹했던 것과 동일한 ‘APT(Advanced Persistent Threat)’ 방식을 말한다. 악성코드가 있는 사이트에 접속한 일반 PC가 악성코드에 감염되면서 해커가 관리자 PC 및 서버의 권한을 갖게 되는 식이다.

서울메트로는 이 같은 방식으로 PC 관리 프로그램 운영 서버 2대와 직원 업무용 PC 213대가 해킹을 당했고 PC 58대는 악성코드에 감염됐다. PC 관리 프로그램 운영 서버는 서울메트로의 모든 업무용 PC에 원하는 프로그램을 설치하고 변경할 수 있는 서버다.

국정원은 그러나 서버 접속 기록을 지난해 3~8월까지만 받아 최초 해킹 시점과 유포자는 파악할 수 없다고 설명했다. 최초 해킹 시점은 지난해 3월 이전으로, 서울메트로가 신고한 8월까지 최소 5개월간 각종 내부 정보가 노출된 셈이다.

특히 종합관제소와 전력공급부서 PC도 해킹을 당해 테러 등 큰 사고로 이어질 수 있었다는 지적도 나온다.

서울메트로는 이에 대해 “PC 관리 프로그램 운영 서버와 업무용 PC는 지하철 운행ㆍ신호시스템과 별도의 망으로 분리돼 있다”면서 “예전 시스템을 사용하기 때문에 망과 망을 연결할 수도 없어 추가 피해는 없었다”고 말했다.

서울메트로는 국정원 조사 이후 업무용 PC 4240대 전체를 포맷하고 보안관제시스템을 정비하는 등 비상조치를 취했다. 한편 서울메트로는 2013년 18만4578건, 지난해 37만713건, 올해 9월까지 35만188건 등 매년 사이버공격에 시달리고 있다.

ipen@heraldcorp.com