지난달 서울대병원 환자 7000여명의 개인정보가 유출된 해킹 사건의 배후가 북한 정찰총국 산하 해킹 그룹 ‘김수키(Kimsuky)’로 추정된다는 분석이 나왔다.
15일 국민의힘 하태경 의원실 의뢰로 서울대병원 해킹 사건 분석을 한 최상명 이슈메이커스랩 대표는 본지 통화에서 “서울대병원을 공격한 IP(인터넷 접속주소)에서 나온 악성코드를 분석하니 과거 김수키가 사용했던 것과 사실상 동일한 코드가 나왔다”며 “김수키는 도메인을 수시로 바꾸는 전략을 쓰고 있는데, 이번 서울대병원 해킹건에 사용된 도메인 역시 지난해 미국 정부에서 발표한 김수키 측의 IP, 도메인과 연결돼 있었다”고 했다. 이를 토대로 최 대표는 “100% 단정하기는 어렵지만, 서울대병원 해킹 사건의 배후에 김수키가 있는 것으로 보인다”고 했다. 이슈메이커스랩은 북한 사이버테러 전문 연구그룹이다.
지난 6일 서울대병원은 홈페이지 공지를 통해 “지난달 5~11일 악성코드 감염을 통한 해킹 형태의 사이버공격으로 일부 개인정보를 담은 파일 유출이 의심되는 정황이 있다”며 “교육부·보건복지부·개인정보보호위원회·사이버수사대 등에 신고했다”고 했다. 서울대병원이 하태경 의원실에 제출한 자료에 따르면, 이 병원은 서버 1대와 PC 62대에 해킹 피해를 당해 환자 내원기록 등 총 6969건의 진료 정보가 유출됐다. 이 정보에는 환자와 직원의 이름·성별·나이·생년월일·주소·연락처 같은 개인정보와 진단명·검사결과·의학사진 등 의료 정보도 포함된 것으로 추정된다. 현재 경찰청 사이버수사대에서 수사를 진행하고 있다.
서울대병원은 전직 대통령, 재계 주요 인사 등이 치료를 받은 국내 대표 병원이다. 이번 해킹으로 이들의 의료 기록이 북한에 유출됐을 가능성이 있다는 추측도 나온다. 최 대표는 “김수키는 정보수집 조직”이라며 “다수의 국가시설·기관에 악성코드를 보내 각종 정보를 수집하려는 목적으로 보인다”고 했다.
최근 다른 국가 기관에도 북한의 소행으로 추정되는 해킹 공격이 잇따르고 있다. 국정원은 지난 8일 국회 정보위원회에서 원자력연구원과 한국항공우주산업(KAI)이 최근에 당한 사이버 공격이 북한 혹은 북한 연계조직의 소행으로 추정된다고 밝혔다. 이에 대해 북한은 대남선전매체를 통해 “무작정 북한의 소행으로 몰아가는 것은 무식과 무지의 극치”라고 주장했다.