이날 서울메트로가 국회 국토교통위 소속 새누리당 하태경 의원에게 제출한 ‘해킹 사고 조사 결과 보고’ 자료에 따르면 지난해 7월 서울메트로의 ‘PC관리 프로그램 운영 서버’ 등 서버 2대가 해킹당해 PC 213대에 이상 접속 흔적이 확인됐다. PC 58대는 악성코드에 감염됐다. 또 악성코드에 감염된 PC 중에는 지하철 운행을 실시간으로 감시하는 컨트롤 타워 역할을 하는 종합관제소와 지하철 전력 공급을 맡은 전기통신사업소 등 핵심 부서의 PC가 포함됐다.

국가정보원 조사결과 이번 해킹에는 2013년 3월 KBS·MBC 등 방송사와 신한은행·농협 등 금융기관의 전산망을 마비시킨 것과 동일한 수법인 ‘APT(Advanced Persistent Threat)방식’이 사용된 것으로 나타났다. 국정원은 하지만 서버 접속 기록을 지난해 3월부터 8월 것까지 받아 분석한 결과 해킹 최초 시점과 유포자 등은 파악할 수 없었다고 설명했다. 이에 따르면 최초 해킹 시점은 지난해 3월 이전이기 때문에 메트로가 해킹 사실을 신고한 지난해 8월까지 최소 5개월간 각종 내부 정보가 노출된 것이다.

서울메트로 측은 해킹 사실을 인지한 후 바로 국가정보원에 신고했고 조사 이후 9월 중순부터는 업무용 PC 전체를 포맷하는 등의 비상조치를 실시했다. 이에 대해 서울메트로 관계자는 "사무용 PC만 해킹된 것이기 때문에 지하철 운행·신호 시스템과는 상관없다"며 "국정원 조사 후 업무용 PC 4,240대 전체를 포맷하고 보안 관제 시스템을 강화하고 있다"고 말했다. 그러나 일각에서는 서버가 해커에게 일단 장악당하면 망을 분리해서 관리하더라도 망과 망을 연계하는 시스템 등을 통해 침입할 가능성을 배제할 수 없다는 지적이 나오고 있다.