“서울 지하철 통제시스템 업체가 北 해킹 허브”

북한의 대남공작조직들이 노리는 주요 목표 가운데 빠지지 않는 곳이 전력 공급 시스템과 지하철, 공항이다.

한국은 지하철 통제 시스템의 생산 및 관리를 민간업체에 위탁하고 있다. 그런데 이런 업체가 최근 북한 정찰총국의 해킹을 받고, ‘악성코드’에 감염된 ‘좀비 PC’들의 서버 역할을 했다는 주장이 나왔다.

‘동아일보’는 27일 “북한 정찰총국이 4차 핵실험 직전 지하철 통제 시스템을 생산, 관리하는 국내 기업의 공식 홈페이지를 해킹한 뒤 추가 사이버테러의 전진기지로 활용한 사실이 처음 확인됐다”고 보도했다. 

‘동아일보’는 화이트 해커 모임 ‘이슈메이커스랩’ 관계자들을 인용, 북한 정찰총국이 2015년 12월 중순 무렵 신종 악성코드로 지하철 시스템 관리업체의 홈페이지를 해킹, 관리자 권한을 확보했다며 이 같이 보도했다.

‘동아일보’에 따르면, 북한 정찰총국으로 추정되는 해커들은 ‘스테가노그래피(사진, 음악, 영상 등에 정보를 숨기는 암호화 기법)’를 활용해 홈페이지에 각종 ‘장치’를 숨겼다고 한다.

‘동아일보’는 “이번에 발견된 악성코드를 분석한 결과 해킹을 한 조직은 2014년 서울지하철 1~4호선을 운영하는 서울메트로 서버를 해킹해 5개월 이상 장악했던 세력과 같은 것으로 밝혀졌다”면서 이번 해킹이 한국의 지하철 운행에 타격을 주기 위한 사전 작업이 아니냐고 분석했다.

‘동아일보’에 따르면, 지하철 시스템 관리업체 홈페이지를 통해 악성코드에 감염된 ‘좀비 PC’를 조종하고, 훔친 파일을 어디로 보낼지, 새로운 악성코드를 어디에 퍼뜨릴지 등의 명령을 내렸으며, 해당 업체에서는 얼마나 많은 자료가 유출됐는지 알 수 없는 상태라고 한다.

‘동아일보’는 정보당국과 보안업계를 인용, “최근 북한 정찰총국은 국가 기밀정보 수집 및 사회 혼란을 담당하는 A팀, 군사기밀 수집 및 국가기간망에 침투하는 B팀, 외교·통일·안보 등과 관련된 정보를 수입하는 C팀으로 조직을 개편했는데, 이번 사건은 B팀의 소행으로 추정된다”고 설명했다.

과거 군 관련 웹사이트 공격, 2013년 3.20 방송국-금융기관 사이버 테러, 2014년 이후 코레일·서울메트로 해킹 등을 주도한 것도 B팀이라고 한다.

‘동아일보’는 화이트 해커를 인용 “2014년 이후 북한의 사이버공격이 공공시설물에 집중되고 있다”며 북한이 국가기간망을 교란해 사회불안을 야기하려는 게 아니냐고 분석했다.

하지만 북한의 대남공작조직들이 주로 민간 분야에서 관리하는 국가기간망을 노린 것은 오래된 일이다. 1997년 11월에는 철도청, 서울지하철공사에서 39년 동안 근무했던 간첩 S씨가 적발된 바 있고, 2010년 5월에도 인터넷 채팅을 통해 서울메트로 간부를 포섭해 기밀을 빼내려던 30대 여간첩 K씨가 검거된 적이 있다. 이들은 각각 사회문화부(現225국)와 보위부 소속으로 지하철 파괴공작에 필요한 정보를 수집한 것으로 드러났다.

북한이 한국의 지하철, 전력 공급망 등에 관심을 갖는 것은 일반인들이 많이 사용하고 보안이 허술한 ‘소프트타깃’을 목표로 테러를 일으킬 경우 큰 파급효과를 불러일으킬 수 있기 때문이다.

북한과 달리 언론의 자유가 있고, 선거를 통해 정권을 결정하는 한국 사회에서 지하철 사고, 전력공급 사고 등이 발생하면, 일부 정치인과 언론들이 정부를 비난하며, 사회적으로 큰 혼란을 일으키는 게 가능하다는 것을 북한 대남공작조직들도 잘 알고 있다는 뜻이다.

특히 한국은 90년대 말부터 IT기술을 거의 모든 분야에 접목, 2011년까지는 댐, 원전 관리 시스템까지도 인터넷에 연결돼 있어 접근이 쉬운 점도 알려지자 북한 정찰총국의 주요 목표가 된 것으로 보인다.