- 하우리 고객사인 대학병원 전산망도 침투, “피해는 발견되지 않았다”

[디지털데일리 이유지기자] 하우리 직원 PC 해킹이 북한 소행으로 지목됐다. 사이버공격자는 하우리 해킹을 통해 알아낸 정보로 하우리 보안 제품을 사용하는 고객사인 한 대학병원에 침투해 사이버공격을 준비해온 것으로 나타났다.

경찰청 사이버안전국은 12일 “하우리 직원PC 해킹이 북한 소행으로 확인됐다”며 “하우리 해킹으로 알아낸 취약점 정보로 대학병원 전산망을 공격해 완전히 장악할 수 있는 상태였다”며 이같이 밝혔다.

경찰은 지난 3월 다른 사건을 수사하던 중 하우리에서 유출된 것으로 보이는 문서를 발견했다. 하우리 직원 업무용PC 한 대가 해킹돼 국방부 보안시스템 구축사업 관련 제안서를 포함해 일반 문서 등 14종이 탈취됐다.

공격자는 하우리 해킹으로 안티바이러스(백신) 업데이트를 수행·관리하는 중앙통제서버(백신관리시스템) 취약점을 알아내 해당 병원 전산망을 해킹한 것으로 경찰은 파악하고 있다. 경찰이 이 사실을 인지한 것은 지난 4월이다. 다만 이 시점까지 사이버공격 행위가 이뤄지지는 않아 이 병원이 특별한 피해를 입지는 않은 것으로 조사됐다고 경찰은 전했다.

정석화 사이버안전국 사이버테러수사팀장은 “공격자는 하우리의 보안 제품의 취약점을 알아내기 위해 하우리를 공격한 것으로 보인다”며 “하우리 보안 제품을 사용하는 고객사를 공격할 수 있기 때문”이라고 말했다.

정 팀장은 이어 “해당 대학병원은 전산망 마비 등의 위험성이 있지만 해킹 사실을 발견한 시점까지는 실질적인 공격 등 악성행위를 하지 않은 것으로 보인다”며 “당시 분석을 통해 하우리와 병원 해킹 사실을 발견한 후 이를 통보해 곧바로 보안강화 조치가 이뤄졌다”고 밝혔다.

하우리는 경찰로부터 통보를 받고 해킹 사실을 인지한 이후 즉각적으로 취약점에 대한 보안패치를 적용했다.

정 팀장은 “하우리는 경찰과 협력해 모든 고객사를 대상으로 취약점 보안패치를 적용했으며, 피해 여부에 대한 전수조사도 실시했다”며 “전수조사 결과 다른 고객사들은 문제가 없는 것으로 확인했다”고 말했다.

경찰은 이번 공격 근원지가 북한 평양 소재 인터넷주소(IP)로 나타났으며, 지난 2013년 3.20 방송·금융 전산망 사이버테러시 공격 근원지와 IP가 정확히 일치했다는 점에서 북한 소행으로 결론냈다.

<이유지 기자>yjlee@ddaily.co.kr