이정원 서울메트로 대표 "피해 서버·PC, 관제시스템과 관련없어"

하태경 의원 "방화벽·스팸 차단 등 보안 인력 2명뿐…대형 사고 우려"

>

[메트로신문 박상길기자] 지하철 1∼4호선을 운영하는 서울메트로가 직원 업무용 개인 컴퓨터(PC) 관리 서버의 해킹사고와 관련해 "관제시스템은 폐쇄망으로 운영되고 있어 (해킹은) 시민 안전과는 전혀 관련이 없다"고 밝혔다.

이정원 서울메트로 사장은 5일 오전 시청에서 긴급 브리핑을 열고 "열차 운행과 관련이 있는 관제시스템과 업무망은 일체 연결이 없는 단독망으로 운영되고 있다"며 "피해를 입은 서버와 PC는 행정 업무용이며 문건 역시 내부 업무 관련 자료"라고 말했다.

이 사장은 이어 "사건 이후 외부 IT전문가를 채용하고 정보보안팀을 신설하는 등 자체 보안조직을 보강했다"며 "보다 근본적인 침해사고 예방을 위해 업무망과 인터넷망을 분리추진하겠다"고 밝혔다.

앞서 국회 국토교통위원회 소속 하태경(새누리당)은 지난해 7월 서울메트로의 'PC 관리프로그램 운영 서버' 등 서버 2대가 해킹을 당해 213대에 인가받지 않은 사용자의 접속 흔적이 확인됐고 PC 58대는 악성코드에 감염됐으며 업무자료도 12건이 유출됐다고 주장했다. 매일 약 420만명이 이용하는 2000량의 지하철이 테러위험에 노출돼 있었던 셈이다.

하 의원에 따르면 국가정보원 국가사이버안전센터가 서울메트로의 해킹 의심 신고로 지난해 9월 1∼5일 조사한 결과, PC 관리 프로그램 운영용 등 서버 2대가 해킹당해 PC 213대에서 이상 접속 흔적이 확인됐고 58대는 악성코드에 감염됐다.

8월부터 조사에 나선 국정원 측은 서울메트로에 로그(log) 관리 시스템이 구축돼 있지 않아 서버 접속 기록을 지난해 3~8월 6개월치만 확보했고 최초 해킹시점과 악성코드 최초 유포지 등을 정확히 파악하지는 못한 것으로 알려졌다. 최초 해킹 시점이 지난해 3월 이전인 것이다.

악성코드에 감염된 PC 중에는 지하철 운행을 실시간으로 감시하는 컨트롤 타워 역할을 하는 종합관제소와 지하철 전력 공급을 맡은 전기통신사업소 등 핵심 부서의 PC가 포함된 것으로 알려졌다.

해킹은 북한이 2013년 공중파방송사와 금융기관의 전산망을 마비시키기 위해 쓴 'APT 방식'과 흡사하다는 분석이 나오고 있다. 특정기업이나 기관을 표적으로 하고 오랜 시간 지속적으로 해킹을 시도하는 방식이다.

이번 공격으로 서울메트로의 각종 구성도나 임직원 명단 자료 등 서울메트로의 내부 구조를 파악할 수 있는 자료가 빠져나간 것으로 파악되고 있다.

서울메트로는 국정원 조사 이후인 지난해 9월 17일부터 한 달에 걸쳐 업무용 PC 전체인 4240대를 포맷하는 등 비상조치를 내렸으며 지하철 운행과 관련된 신호 시스템은 별도 망으로 관리하고 있어 피해를 입지 않았다고 해명했다.

서울메트로는 후속 조치로 지난해 9월 업무용 PC 4240대를 포맷 후 사용하도록 했고 보안팀 인력 보강과 더불어 보안시스템을 강화했다고 설명했다. 또 근본적인 사고 방지를 위해 장기적으로 업무망과 인터넷망을 분리할 계획이다.

한편 서울메트로는 2013년 18만 4578건, 지난해 37만713건, 올해 9월까지 35만188건 등의 사이버 공격을 받았다. 해킹 원인으로는 방화벽과 디도스 차단시스템, 스펨메일 차단 시스템 등을 다룰 보안 인력이 부족했기 때문이라는 분석이 나오고 있다.

하태경 이날 YTN라디오에 출연해 "서울메트로는 (서버상에) 이상조짐이 일어나면 알려주는 보안관제시스템, 보안팀 자체가 없고 보안 담당 직원도 2명밖에 없다"며 "서울메트로 같은 중요한 조직에 보안 체계가 굉장히 취약하다"고 지적했다.

또 "신호체계를 바꿔놓으면 지하철 충돌같은 대형사고가 일어날 수 있고 이번에 전기 쪽(PC)도 장악됐는데 전기를 꺼버린다면 모든 게 급정지하고 암흑 속에서 서울 시민들이 고통을 겪는 어마어마한 사고가 일어날 수 있었다"고 우려했다.