군사기밀 사이버사령부 산하 부대 '접점' 통해 북한으로 흘러갔다

프리랜서 김성태

군의 내부 전용망(인트라넷)인 ‘국방망’이 해킹돼 일부 군사기밀이 유출된 원인은 차단돼 있어야 할 국군사이버사령부 예하 부대의 인트라넷 서버가 인터넷과 연결돼 있었기 때문이라고 국방부 당국자가 6일 말했다. 또 비밀 문서 작업을 할 경우 외부망을 단절하고, 컴퓨터에 저장하지 말아야 한다는 규정을 실무자들이 어기기도 했다.

국방부 당국자는 “지난 9월 23일 군에서 운영하는 백신 서버가 악성코드에 감염된 사실을 확인한 뒤 조사를 실시했다”며 “예하부대의 한 서버에 인터넷과 인트라넷을 연결하는 선(랜선)이 동시에 연결돼 해커들의 통로가 만들어졌고, 이를 통해 PC가 악성코드에 감염된 것으로 확인됐다”고 말했다.

군 당국은 악성코드 발견 직후 인트라넷과 인터넷을 단절하는 조치를 취했지만 해당 부대가 추가로 사이버 공격을 받을 수 있다는 이유로 구체적인 부대는 밝히지 않았다.

국방부에 따르면 악성코드가 발견된 건 지난 8월 4일이다. 이후 9월 23일 악성코드가 대량으로 유포됐고, 악성코드를 통해 해커들이 군사기밀을 빼간 것으로 파악됐다. 군 관계자는 “악성코드가 배포된 곳이 중국 선양이고, 악성코드의 종류가 북한에서 제작한 것과 유사해 북한의 소행으로 추정하고 있다”며 “지속적인 공격을 통해 방화벽(fire wall)이 약한 부분을 찾아 악성코드를 심어 유포한 뒤 자료를 빼간 것으로 보인다”고 말했다. 해커들이 1단계로 지속적인 공격을 통해 취약한 서버를 발견해 악성코드를 심고, 백신을 분석해 방화벽을 뛰어 넘은 뒤 다른 PC를 감염시키는 동시에 ‘접점’을 찾아 자료를 빼갔다는 얘기다. 군 당국은 컴퓨터에 남아 있는 흔적(로그)은 8월 4일부터인 것으로 파악하고 있지만 접점이 언제 생겼는지 확인되지 않아 당국의 예상보다 피해가 클 수 있다는 우려도 있다.

군의 일반 행정은 인터넷망으로, 보안을 요하는 작업은 별도의 망인 국방망을 활용하고 있다. 작전계획 등을 운용하는 전장망도 별도로 운용중이다. 이 때문에 국방망이나 전장망은 해킹에 안전하다고 판단해 왔다. 국방망에서 작업한 이동식 저장장치(USB)를 인터넷망에 꽂아 작업을 할 때 빼가는 것 외에는 불가능하다는 입장이었다. 그러나 이번에는 인터넷망과 인트라넷망이 연결되는 ‘접점’이 생겼고, 북한과 관련있는 해커들이 이를 발견해 자료를 빼 나가는 새로운 방식이라는 게 군 당국의 설명이다.

조사에 참여했던 관계자는 “미상의 방법으로 인터넷 PC를 좀비화하고 백신체계 정보를 수집한 뒤에 백신체계를 해킹해서 다량의 악성코드를 유포했다”면서 “규정위반과 관리적 부주의로 연결된 망을 활용해 자료가 유출된 것으로 조사됐다”고 말했다. 실제 조사과정에서 접점 역할을 한 부대의 서버에는 인터넷망과 국방망용 랜카드가 동시에 꽂혀 있었다고 한다. 결국 외부의 공격을 막아야 할 백신서버가 ‘접점’ 역할을 한 셈이다. 문상균 국방부 대변인은 “인터넷 백신체계를 조사중”이라며 “국방망 일부에서도 악성코드가 식별됐고 조사결과 군사비밀을 포함한 일부 군사자료가 유출된 것으로 확인됐다”고 말했다.

군 당국은 유출된 자료에 군사기밀이 포함돼 있다는 사실을 인정하면서도 구체적인 피해 내용은 밝히지 않았다. 당국자는 “우리가 어떠한 자료가 유출됐다고 밝히게 되면 해커들의 ‘작업’이 성공했다는 것을 인정할 뿐만 아니라 우리의 능력을 노출시켜 추가 피해가 우려되기 때문에 밝힐 수 없다”고 말했다.

국방부는 이번 기회를 계기로 군 내부망을 대대적으로 점검하고 재발 방지 대책을 마련중에 있다. 국방부 당국자는 ”이번 사고의 직ㆍ간접 원인을 식별해 관리적ㆍ기술적ㆍ제도적으로 조치해야 할 과제를 14개 만들었다“며 ”내ㆍ외부망 연결 접점 관리와 백신체계 보강, 인력 운용과 관련한 내용을 망라하고 있고 사이버안보태세 강화 태스크포스(TF)를 구성해 보다 근본적인 사이버 역량을 발전시키기 위한 발전방안을 수립중에 있다“고 설명했다.

정용수 기자 nkys@joongang.co.kr