서울메트로 서버 해킹사고…"운행 안전에는 이상無"

지난해 7월 서울메트로 업무용 PC 해킹·자료 유출…北 소행?

[아시아경제 유제훈 기자] 서울메트로는 지난해 7월 발생한 업무용 컴퓨터 관리 서버 해킹사고와 관련해 "관제시스템은 폐쇄망으로 운영되고 있어 (해킹은) 시민 안전과는 전혀 관련이 없다"고 말했다.

이정원 서울메트로 사장은 이날 오전 11시10분 시청에서 긴급 브리핑을 열고 "열차 운행과 관련이 있는 관제시스템과 업무망은 일체 연결이 없는 단독망으로 운영되고 있다"며 이같이 밝혔다.

앞서 하태경 새누리당 의원·서울시 등에 따르면, 서울메트로는 지난해 7월23일 오전 11시18분~11시50분 사이 업무용 PC 3대에서 업무관련 자료(부서 업무계획, 인사 등) 12건이 유출된 사실을 파악한 후 시 통합보안관제센터(7월24일), 국정원 국가사이버안전센터(8월5일)에 신고했다.

이후 국가사이버안전센터가 9월1~5일 조사한 결과 이 해킹으로 공사에서 운영중인 PC 58대가 악성코드에 감염된 것으로 드러났다. 아울러 PC 213대는 비인가 접속 피해를 겪었고, 2대의 서버(PC관리프로그램, 공사 웹진 운영서버) 권한도 탈취됐다.

당시 국가사이버안전센터는 이 해킹 수법이 지난 2013년 3월 주요 방송사와 금융기관을 해킹했던 것과 동일한 'APT(Advanced Persistent Threat)' 방식인 것으로 파악했다. 그러나 사고 당시 서울메트로에 통합로그관리시스템이 구축돼 있지 않아 악성코드 유포지와 최초 시기는 확인하기 어려운 상태였다.

이후 서울메트로는 약 한달에 거쳐 서울메트로 내 업무용 PC 4240대를 전부 포맷(Format)했고, 보안관제시스템 및 APT대응시스템, 통합로그관리시스템을 올해 6월까지 구축했다. 또 자체적으로 IT전문가를 채용해 정보보안팀을 신설하기도 했다.

이와 관련 권지연 서울메트로 정보관리처장은 "기본적으로 철도, 교통, 원자력 등 구가시스템에는 지속적인 외부의 침입시도가 나타난다"며 "열차의 운행과 관련된 (서울메트로의) 종합관제시스템은 별도의 폐쇄망으로 움직이는데, 문제가 된(감염된) PC들은 열차운행과는 무관한 행정용 PC"라고 설명했다.

2013년 방송사·금융기관 해킹사고의 주체로 추정되는 세력(북한 정찰총국)의 공격이 아니냐는 지적과 관련해서 이 사장은 "(북한의 소행 여부는) 국정원의 몫"이라며 "우리가 판단할 사안은 아니다"라고 밝혔다.

유제훈 기자 kalamal@asiae.co.kr