AD
■ 진행 : 김영수 앵커, 조예진 앵커
■ 출연 : 문종현 지니언스 이사
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다. 인용 시 [YTN 더뉴스] 명시해주시기 바랍니다.
[앵커]
2년 전 일어났던 서울대병원 개인정보 유출 사건이 북한 해킹 조직의 소행으로 드러났다고 경찰이 밝혔습니다.
[앵커]
해킹 조직이 서울대병원에서 진료받은 주요 인사의 개인정보를 탈취하려고 해킹을 실행한 것으로 추정했는데요, 북한 해킹에 대해 20년 넘게 분석하는 일을 하고 계신 문종현 지니언스 이사 연결해서 자세한 말씀 들어보겠습니다. 이사님 나와계십니까?
[문종현]
안녕하십니까?
[앵커]
재작년 발생했었던 사건인데요. 서울대병원 개인정보 유출사건. 83만 건이나 된다면서요? 어떤 사건이었습니까?
[문종현]
지난 21년 6월에 서울대병원 홈페이지 웹서버가 업로드가 발견됐고요. 그곳에 웹시엘이라고 하는 악성파일을 등록해서 공격자가 서울대병원 내부망에 침입을 하게 됩니다. 환자 약 81만 명과 전현직 직원 1만 7000여 명 등 약 83만 명의 개인정보가 유출됐거나 또는 유출된 정황이 확인된 사건입니다. 그래서 이중에 유출된 개인정보 건수는 직원이 약 2000명 정도고요. 나머지는 유출된 정황만 확인됐습니다. 그래도 유출됐을 가능성을 높게 보고 있고요. 또 사건 초기에 약 2만여 건의 환자 및 교직원 정보가 유출된 것이 확인됐고. 그 당시 긴급하게 보안 점검 및 조치가 실시됐습니다. 그리고 당시 7월 초에 경찰청에 정식 수사를 의뢰하면서 본격적인 수사가 착수된 사건입니다.
[앵커]
지금 경찰청은 북한의 소행이라고 판단하고 있는데 어떻게 보셨어요?
[문종현]
일단 경찰청은 공격 근원지의 IP 주소하고 해킹 수법이라든지 가입 정보, 북한 어휘 등을 종합적으로 분석 수사를 한 것 같고요. 또 기존의 북한발로 규명된 다수의 사건과 비교해서 북한 소행으로 최종 결론을 내린 점은 매우 긍정적으로 판단이 됩니다. 또 실제 21년도 5월 당시에 서울대병원을 사칭한 다양한 형태의 해킹 공격들이 집중적으로 발견됐었고요. 당시에 저도 분석을 진행했던 경험의 기억이 남는 것 같습니다. 당시 공격에 쓰인 IP 대역이라든지 다른 북한발 해킹 공격으로 분석된 IP 주소와 공격수법들이 서울대병원 사건하고 정확히 일치하는 것을 직접 확인한 바가 있고요. 이번에 다치지 말라는 북한식 표현법도 중요한 단서 중의 하나로 판단이 됩니다.
[앵커]
그렇다면 왜 개인정보를 80만 건 이상 북한에서 가지려 했을까요? 어디에 활용하려 했을까요?
[문종현]
일단 개인정보를 가지고 과거의 사례를 보면 국내 온라인 마켓이라든가 실제로 해킹으로 특정한 온라인 마켓에서는 회사의 대표가 해당 회원들 가입정보를 통해서 협박을 받은 적이 있습니다. 그래서 비트코인을 지불하면 이 개인정보를 언론사에 공개하지 않겠다. 이런 식으로 일종의 외화벌이 목적으로도 사용됐던 정황 기록이 있습니다.
[앵커]
그렇군요. 각종 협박에도 사용하고 외화벌이 수단으로 사용해 왔다.
[앵커]
북한의 사이버테러는 수준을 살펴보면 세계적으로 악명 높다고 알려져 있습니다. 현재 어느 정도 수준까지 올라와 있습니까?
[문종현]
기본적으로 해외에서는 예를 들어서 중국, 북한, 러시아, 인도 이런 4개국을 사이버 적대국가로 많이 얘기하고 있는데요. 주로 미국이나 다른 나라 입장에서 봤을 때는 북한의 해킹 수준을 낮게 평가하는 경우가 있는데 실제 우리나라를 상대로 들어오는 공격들을 보면 굉장히 정교하고 고도화된 공격으로 들어오고 있습니다. 그래서 북한 해킹 자체가 2009년 전후로 해서 본격화됐고요. 최근에는 글로벌 국가안보 이슈로 부상했을 정도로 그 수위가 굉장히 고조되고 있는 상태로 보고 있습니다.
[앵커]
이번 사건에서 북한의 해킹그룹 김수키다, 이렇게 추정이 되고 있는데. 김수키는 과거 미 안보당국이 사이버 공격 경고한 대표적인 조직이기도 하죠?
[문종현]
김수키라는 표현을 많이 쓰는데요. 실제로는 북한의 정찰총국을 의미하는 보안업체가 지은 이름이고요. 2014년도 우리나라 한국수력원자력발전소를 해킹한 것으로 악명이 많이 알려져 있고요. 그외에도 다른 사건들도 굉장히 많이 진행되고 있습니다. 지금 서울대병원뿐만 아니라 북한의 사이버 위협 활동은 이미 일상화됐다고 해도 전혀 과언이 아니고요. 미국뿐만 아니라 한국에서도 다양한 해킹 수법이 쓰이고 있고 주로 이메일 기반의 스페어피싱 공격이나 웹사이트를 이용한 워더리닝 공격, 또는 SNS를 이용한 공격들도 많이 쓰이고 있습니다. 특히 지금 미국이나 한국에서도 가장 주목하고 있는 부분 중의 하나는 이 북한의 해커들이 단순히 해킹 공격만 하는 게 아니라 프로그램 개발, 외주 같은 걸 프리랜서로 받아서 실제로 프로그램 개발하는 아웃소싱도 지원하고 있는데요. 그런데 문제는 신분이나 프로필을 위장해서 이 프로그램 개발을 대행해 주고 있는데 여기에 악성 프로그램들도 은밀하게 삽입해서 유포되는 경우가 발견되고 있어서 굉장히 주의가 필요한 상황입니다.
[앵커]
북한의 해킹 수준이 과거 언론사, 금융사 이런 전산망들을 다 마비시킨 적이 있습니다. 그래서 정말 어디까지 가능할지 우려가 되기도 하는데요. 수준을 어느 정도까지 보십니까? 군사시설 같은 것도 해킹이 가능할까요?
[문종현]
원래 북한의 해킹은 2009년도부터 해서 2000년대 초반부터 해킹이 진행되는데요. 원래 시작은 국방이나 군사 관련된 분야에 집중됐었어요. 그런데 그 이후에 2000년대 후반으로 넘어오면서는 우리나라 민간 관련된 사이트들이 공격을 많이 받고 있고요. 특히 북한의 해킹이 특정한 기념일에만 진행되고 있는 게 아니라 앞서 말씀드린 것같이 우리나라 일반 평사원처럼 아침 9시에 출근하고 12시에 점심식사를 하고 저녁 6시에 퇴근하는 것과 비슷하게 이들도 아침부터 퇴근하기 전까지 계속 해킹 업무를 일종의 군사임무처럼 수행하고 있거든요. 그래서 해킹을 성공할 때까지 일상적으로 하고 있다고 봐야 될 것 같습니다.
[앵커]
일상적으로 전 세계 곳곳, 우리나라 곳곳 지금 해킹을 하고 있다는 말씀을 해 주시고 계신데. 앞서 서울대병원 같은 경우에는 홈페이지에 들어가서 악성파일을 깔았다고 했잖아요. 그렇다면 어디든지 우리나라 국내 모든 회사 홈페이지에 들어가서 악성파일을 깔고 들어갈 수 있는 겁니까?
[문종현]
그거를 좀 더 전문적으로 하면 워터링홀 공격방법이라고 하는데요. 이번에 서울대병원 관련해서는 그런 공격으로 확인되지 않은 걸로 보이고. 단순히 서울대병원의 홈페이지 웹서버를 취약점을 찾아서 웹셀이라고 하는 일종의 백도어, 그러니까 해커가 좀 더 편하게 웹사이트에 들어가서 관리자 권한을 획득할 수 있는 방법으로 해킹을 해서 내부망을 침투하는 용도로 사용을 했고요. 물론 홈페이지가 침해 위협을 받게 되면 공격자의 의도에 따라서 또 다른 악성파일을 뿌린다거나 하는 용도로도 충분히 사용 그냥 합니다.
[앵커]
북한의 해킹 수준이 날로 높아지고 있는데. 무엇보다 그러면 대응이 중요할 것 같습니다. 우리 국가기관 차원에서 어떤 준비를 하고 있어야 될까요?
[문종현]
지금 한미 정상들도 이 사이버 안보에 대해서 굉장히 중요하게 얘기하고 있는 상황이고요. 왜냐하면 우리나라 가까이 있는 북한, 중국, 러시아가 거의 사이버 적대국가로 지정된 상태이고 워낙 남북관계 정치적 이슈와 별개라고 치더라도 민간 쪽의 사이버공격들이 워낙 많이 발생하고 있습니다. 그래서 정부 차원에서도 국정원이라든지 한국인터넷진흥원이라든지 경찰청이라든지 외교부에서도 민관 협력을 굉장히 잘하고 있습니다. 그래서 워낙 과거에는 공공기관이나 국방 쪽에 공격이 많이 들어왔기 때문에 공공 쪽에 보안 전문가들이 많이 업무를 해주셨는데. 지금은 북한의 사이버 공격이 공공 쪽에만 집중되는 게 아니라 민간 쪽에도 굉장히 많이 들어오고 있으니 민관협력이 굉장히 중요한 시점이다. 그리고 사이버 보안 전문가들 양성도 물론 중요하지만 좀 더 엔드포인트, 이용자들의 컴퓨터, 개인의 컴퓨터, 기업의 컴퓨터들을 가시성 있게 대응하기 위한 솔루션들을 도입할 필요가 있다고 생각합니다.
[앵커]
기업들도 기술 유출 막아야 하고요. 그래서 보안 전문가 화이트해커 양성도 필요하다는 의견이 많던데요. 어떻게 보세요?
[문종현]
기본적으로는 화이트해커라는 표현을 많이 쓰고 계시는데요. 실제로는 보안 솔루션을 개발하는 프로그래머들도 많이 필요하고요. 또 중국이나 북한이나 러시아나 이런 국가 차원으로 해킹을 많이 하고 있기 때문에 그냥 단순히 보안 분야에서 보안 인력으로 양성되는 것도 필요하지만 이 국가 차원의 해킹 사건에서 전문적으로 분석하고 대응할 수 있는 인력들도 많이 양성이 필요하다고 볼 수 있을 것 같습니다.
[앵커]
알겠습니다. 북한 해킹의 현주소, 그리고 대책까지 짚어봤습니다. 지금까지 문종현 지니언스 이사와 함께했습니다. 잘 들었습니다.
[문종현]
감사합니다.
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
■ 출연 : 문종현 지니언스 이사
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다. 인용 시 [YTN 더뉴스] 명시해주시기 바랍니다.
[앵커]
2년 전 일어났던 서울대병원 개인정보 유출 사건이 북한 해킹 조직의 소행으로 드러났다고 경찰이 밝혔습니다.
[앵커]
해킹 조직이 서울대병원에서 진료받은 주요 인사의 개인정보를 탈취하려고 해킹을 실행한 것으로 추정했는데요, 북한 해킹에 대해 20년 넘게 분석하는 일을 하고 계신 문종현 지니언스 이사 연결해서 자세한 말씀 들어보겠습니다. 이사님 나와계십니까?
[문종현]
안녕하십니까?
[앵커]
재작년 발생했었던 사건인데요. 서울대병원 개인정보 유출사건. 83만 건이나 된다면서요? 어떤 사건이었습니까?
[문종현]
지난 21년 6월에 서울대병원 홈페이지 웹서버가 업로드가 발견됐고요. 그곳에 웹시엘이라고 하는 악성파일을 등록해서 공격자가 서울대병원 내부망에 침입을 하게 됩니다. 환자 약 81만 명과 전현직 직원 1만 7000여 명 등 약 83만 명의 개인정보가 유출됐거나 또는 유출된 정황이 확인된 사건입니다. 그래서 이중에 유출된 개인정보 건수는 직원이 약 2000명 정도고요. 나머지는 유출된 정황만 확인됐습니다. 그래도 유출됐을 가능성을 높게 보고 있고요. 또 사건 초기에 약 2만여 건의 환자 및 교직원 정보가 유출된 것이 확인됐고. 그 당시 긴급하게 보안 점검 및 조치가 실시됐습니다. 그리고 당시 7월 초에 경찰청에 정식 수사를 의뢰하면서 본격적인 수사가 착수된 사건입니다.
[앵커]
지금 경찰청은 북한의 소행이라고 판단하고 있는데 어떻게 보셨어요?
[문종현]
일단 경찰청은 공격 근원지의 IP 주소하고 해킹 수법이라든지 가입 정보, 북한 어휘 등을 종합적으로 분석 수사를 한 것 같고요. 또 기존의 북한발로 규명된 다수의 사건과 비교해서 북한 소행으로 최종 결론을 내린 점은 매우 긍정적으로 판단이 됩니다. 또 실제 21년도 5월 당시에 서울대병원을 사칭한 다양한 형태의 해킹 공격들이 집중적으로 발견됐었고요. 당시에 저도 분석을 진행했던 경험의 기억이 남는 것 같습니다. 당시 공격에 쓰인 IP 대역이라든지 다른 북한발 해킹 공격으로 분석된 IP 주소와 공격수법들이 서울대병원 사건하고 정확히 일치하는 것을 직접 확인한 바가 있고요. 이번에 다치지 말라는 북한식 표현법도 중요한 단서 중의 하나로 판단이 됩니다.
[앵커]
그렇다면 왜 개인정보를 80만 건 이상 북한에서 가지려 했을까요? 어디에 활용하려 했을까요?
[문종현]
일단 개인정보를 가지고 과거의 사례를 보면 국내 온라인 마켓이라든가 실제로 해킹으로 특정한 온라인 마켓에서는 회사의 대표가 해당 회원들 가입정보를 통해서 협박을 받은 적이 있습니다. 그래서 비트코인을 지불하면 이 개인정보를 언론사에 공개하지 않겠다. 이런 식으로 일종의 외화벌이 목적으로도 사용됐던 정황 기록이 있습니다.
[앵커]
그렇군요. 각종 협박에도 사용하고 외화벌이 수단으로 사용해 왔다.
[앵커]
북한의 사이버테러는 수준을 살펴보면 세계적으로 악명 높다고 알려져 있습니다. 현재 어느 정도 수준까지 올라와 있습니까?
[문종현]
기본적으로 해외에서는 예를 들어서 중국, 북한, 러시아, 인도 이런 4개국을 사이버 적대국가로 많이 얘기하고 있는데요. 주로 미국이나 다른 나라 입장에서 봤을 때는 북한의 해킹 수준을 낮게 평가하는 경우가 있는데 실제 우리나라를 상대로 들어오는 공격들을 보면 굉장히 정교하고 고도화된 공격으로 들어오고 있습니다. 그래서 북한 해킹 자체가 2009년 전후로 해서 본격화됐고요. 최근에는 글로벌 국가안보 이슈로 부상했을 정도로 그 수위가 굉장히 고조되고 있는 상태로 보고 있습니다.
[앵커]
이번 사건에서 북한의 해킹그룹 김수키다, 이렇게 추정이 되고 있는데. 김수키는 과거 미 안보당국이 사이버 공격 경고한 대표적인 조직이기도 하죠?
[문종현]
김수키라는 표현을 많이 쓰는데요. 실제로는 북한의 정찰총국을 의미하는 보안업체가 지은 이름이고요. 2014년도 우리나라 한국수력원자력발전소를 해킹한 것으로 악명이 많이 알려져 있고요. 그외에도 다른 사건들도 굉장히 많이 진행되고 있습니다. 지금 서울대병원뿐만 아니라 북한의 사이버 위협 활동은 이미 일상화됐다고 해도 전혀 과언이 아니고요. 미국뿐만 아니라 한국에서도 다양한 해킹 수법이 쓰이고 있고 주로 이메일 기반의 스페어피싱 공격이나 웹사이트를 이용한 워더리닝 공격, 또는 SNS를 이용한 공격들도 많이 쓰이고 있습니다. 특히 지금 미국이나 한국에서도 가장 주목하고 있는 부분 중의 하나는 이 북한의 해커들이 단순히 해킹 공격만 하는 게 아니라 프로그램 개발, 외주 같은 걸 프리랜서로 받아서 실제로 프로그램 개발하는 아웃소싱도 지원하고 있는데요. 그런데 문제는 신분이나 프로필을 위장해서 이 프로그램 개발을 대행해 주고 있는데 여기에 악성 프로그램들도 은밀하게 삽입해서 유포되는 경우가 발견되고 있어서 굉장히 주의가 필요한 상황입니다.
[앵커]
북한의 해킹 수준이 과거 언론사, 금융사 이런 전산망들을 다 마비시킨 적이 있습니다. 그래서 정말 어디까지 가능할지 우려가 되기도 하는데요. 수준을 어느 정도까지 보십니까? 군사시설 같은 것도 해킹이 가능할까요?
[문종현]
원래 북한의 해킹은 2009년도부터 해서 2000년대 초반부터 해킹이 진행되는데요. 원래 시작은 국방이나 군사 관련된 분야에 집중됐었어요. 그런데 그 이후에 2000년대 후반으로 넘어오면서는 우리나라 민간 관련된 사이트들이 공격을 많이 받고 있고요. 특히 북한의 해킹이 특정한 기념일에만 진행되고 있는 게 아니라 앞서 말씀드린 것같이 우리나라 일반 평사원처럼 아침 9시에 출근하고 12시에 점심식사를 하고 저녁 6시에 퇴근하는 것과 비슷하게 이들도 아침부터 퇴근하기 전까지 계속 해킹 업무를 일종의 군사임무처럼 수행하고 있거든요. 그래서 해킹을 성공할 때까지 일상적으로 하고 있다고 봐야 될 것 같습니다.
[앵커]
일상적으로 전 세계 곳곳, 우리나라 곳곳 지금 해킹을 하고 있다는 말씀을 해 주시고 계신데. 앞서 서울대병원 같은 경우에는 홈페이지에 들어가서 악성파일을 깔았다고 했잖아요. 그렇다면 어디든지 우리나라 국내 모든 회사 홈페이지에 들어가서 악성파일을 깔고 들어갈 수 있는 겁니까?
[문종현]
그거를 좀 더 전문적으로 하면 워터링홀 공격방법이라고 하는데요. 이번에 서울대병원 관련해서는 그런 공격으로 확인되지 않은 걸로 보이고. 단순히 서울대병원의 홈페이지 웹서버를 취약점을 찾아서 웹셀이라고 하는 일종의 백도어, 그러니까 해커가 좀 더 편하게 웹사이트에 들어가서 관리자 권한을 획득할 수 있는 방법으로 해킹을 해서 내부망을 침투하는 용도로 사용을 했고요. 물론 홈페이지가 침해 위협을 받게 되면 공격자의 의도에 따라서 또 다른 악성파일을 뿌린다거나 하는 용도로도 충분히 사용 그냥 합니다.
[앵커]
북한의 해킹 수준이 날로 높아지고 있는데. 무엇보다 그러면 대응이 중요할 것 같습니다. 우리 국가기관 차원에서 어떤 준비를 하고 있어야 될까요?
[문종현]
지금 한미 정상들도 이 사이버 안보에 대해서 굉장히 중요하게 얘기하고 있는 상황이고요. 왜냐하면 우리나라 가까이 있는 북한, 중국, 러시아가 거의 사이버 적대국가로 지정된 상태이고 워낙 남북관계 정치적 이슈와 별개라고 치더라도 민간 쪽의 사이버공격들이 워낙 많이 발생하고 있습니다. 그래서 정부 차원에서도 국정원이라든지 한국인터넷진흥원이라든지 경찰청이라든지 외교부에서도 민관 협력을 굉장히 잘하고 있습니다. 그래서 워낙 과거에는 공공기관이나 국방 쪽에 공격이 많이 들어왔기 때문에 공공 쪽에 보안 전문가들이 많이 업무를 해주셨는데. 지금은 북한의 사이버 공격이 공공 쪽에만 집중되는 게 아니라 민간 쪽에도 굉장히 많이 들어오고 있으니 민관협력이 굉장히 중요한 시점이다. 그리고 사이버 보안 전문가들 양성도 물론 중요하지만 좀 더 엔드포인트, 이용자들의 컴퓨터, 개인의 컴퓨터, 기업의 컴퓨터들을 가시성 있게 대응하기 위한 솔루션들을 도입할 필요가 있다고 생각합니다.
[앵커]
기업들도 기술 유출 막아야 하고요. 그래서 보안 전문가 화이트해커 양성도 필요하다는 의견이 많던데요. 어떻게 보세요?
[문종현]
기본적으로는 화이트해커라는 표현을 많이 쓰고 계시는데요. 실제로는 보안 솔루션을 개발하는 프로그래머들도 많이 필요하고요. 또 중국이나 북한이나 러시아나 이런 국가 차원으로 해킹을 많이 하고 있기 때문에 그냥 단순히 보안 분야에서 보안 인력으로 양성되는 것도 필요하지만 이 국가 차원의 해킹 사건에서 전문적으로 분석하고 대응할 수 있는 인력들도 많이 양성이 필요하다고 볼 수 있을 것 같습니다.
[앵커]
알겠습니다. 북한 해킹의 현주소, 그리고 대책까지 짚어봤습니다. 지금까지 문종현 지니언스 이사와 함께했습니다. 잘 들었습니다.
[문종현]
감사합니다.
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
