서울메트로의 컴퓨터 서버가 사이버테러 조직에 의해 5개월 이상 장악되었다는 사실이 뒤늦게 밝혀졌다. 서울메트로는 서울지하철 1~4호선을 운영하고 있으며, 하루 약 420만명의 시민이 해당 노선 2천량의 지하철에 탑승한다.

10월 4일, 국회 국토교통위원회 하태경 의원(새누리당)이 서울메트로로부터 제출받은 ‘해킹 사고 조사결과보고’ 자료에 의하면, 2014년 7월 서울메트로의 ‘PC프로그램 운영 서버’ 등 서버 2대가 해킹되어 다른 PC 213대에 허용되지 않은 사용자의 접속이 확인되었다. 또, PC 58대는 악성코드에 감염되었다. 해킹을 받은 서버는 서울메트로의 모든 업무용 컴퓨터에 원하는 프로그램을 설치‧업데이트할 수 있다.

서울메트로는 해킹 사실을 파악한 뒤, 국가정보원에 신고해 2014년 8월부터 조사가 이루어졌다. 하지만 당시 서울메트로에는 컴퓨터 등에 접속한 기록인 로그(log) 관리시스템이 구축되어있지 않아 서버 접속기록을 2014년 3월부터 8월까지만 확보했다고 알려졌다. 따라서 국정원은 “언제 해킹을 당했는지, 악성코드가 어디서부터 유포되었는지 확인할 수 없다”고 통보했다고, 서울메트로는 밝혔다.

다만 2013년 3월, 방송사와 금융기관을 대상으로 이루어졌던 해킹 공격과 동일한 'APT'방식으로, 국정원은 그 당시와 같은 조직의 소행으로 추정했다. 당시 해킹 사건은 북한 정찰총국의 공격이었다.

종합관제소와 지하철에 전력을 공급하는 전기통신사업소 등, 지하철 운영의 핵심적인 역할을 맡고 있는 핵심부서의 PC가 악성코드에 감염되고, 저장된 정보들이 유출되었을 가능성이 있는데 누가 언제 그러한 공격을 했는지 파악할 수 없는 것이다.

서울메트로는 “해킹 사실을 파악한 작년 7월경 즉시 서버를 사용중단하고 한달간 업무용 PC 4,240대를 전부 포맷하는 등, 조치를 취한 뒤 9월부터 재설치했다”며 “서버와 PC가 해킹당한 것은 맞지만 지하철 운행에 관련된 신호 시스템 등은 별도의 망으로 관리했기 때문에 피해는 없었다”고 해명했다. 하지만 해커출신 보안 전문가는 “망과 망 사이를 연계하는 시스템을 통해 침입할 가능성도 있다”고 말했다.

서울메트로는 해킹 사고 이후 ‘사이버 침해 대비 보안대책’ 보고서에서 현재 운영중인 보안 시스템이 이미 알려진 공격만 차단할 수 있다고 말했다. 이에 ‘보안 관제 시스템 구축’, ‘정보보안팀 신설’, ‘내부 전산망과 외부 인터넷 분리’ 등의 대책을 추진하겠다고 밝혔지만, 현재 보안 관제 시스템만 강화되어있는 실정이다.