北朝鮮のサイバーテロ組織とみられるグループが、ソウル地下鉄1-4号線を運営するソウルメトロの重要なコンピューターサーバーをハッキングし、少なくとも5カ月以上にわたり掌握していたことが明らかになった。ソウル市民420万人が毎日利用するソウルメトロの地下鉄2000車両が、長期にわたりテロの危険にさらされていたことになる。
ソウルメトロが4日、国会国土交通委員会所属の河泰慶(ハ・テギョン)議員(与党セヌリ党)に提出した「ハッキング事故調査結果」報告書によると、昨年7月にソウルメトロの「パソコン管理プログラム運営サーバー」を含むサーバー2台がハッキングされ、213台のパソコンに異常接続(許可されていないユーザーによる接続)の形跡が見つかり、58台が不正プログラムに感染したことが発覚した。パソコン管理プログラム運営サーバーは、ソウルメトロの全ての業務用パソコンに任意のプログラムをインストールし、アップデートするためのサーバーだ。
不正プログラムに感染したパソコンの中には、地下鉄の運行をリアルタイムで監視する総合管制所、地下鉄の電力供給を担う電気通信事業所など、重要な部署のパソコンも含まれていた。ソウルメトロに対するサイバー攻撃は2013年が18万4578件、14年が37万713件、今年は9月までで35万188件と、増加を続けている。実際にハッキングされたことが確認されたのは今回が初めて。
情報機関・国家情報院(国情院)の国家サイバー安全センターが調査した結果、ハッキングには13年3月にKBS、MBCなどのテレビ局と新韓銀行、農協などの金融機関のコンピューターシステムをダウンさせたのと同じ、APT(=持続的標的型攻撃、特定のターゲットに対して継続的に攻撃・潜伏を行うサイバー攻撃)と呼ばれる手法が使われた。ソウルメトロ側は「ハッカーが不正プログラムを仕込んだサイトに接続したソウルメトロのパソコンが不正プログラムに感染し、管理者パソコンとサーバーの権限が奪われた。13年3月のサイバー攻撃と同じサイバーテロ組織(北朝鮮の偵察総局)による犯行と推定される」と説明している。ソウルメトロは国情院の調査後の昨年9月17日から1カ月にわたり、4240台の業務用パソコン全てを初期化するなどの緊急対応を取った。