軍 내부망 해킹, 北 해커 소행 추정…어떤 기밀 유출됐나

군 내부 전용 사이버망(인트라넷) 해킹 사태는 예하 부대의 백신중계 서버가 관리 부실로 외부 인터넷망(외부망)과 군 내부망이 연결되면서 초래됐다고 국방부가 6일 밝혔다.

군 관계자는 ＂예하부대의 한 백신중계 서버에 외부망과 국방망(내부망)을 각각 연결하는 랜카드 2개가 꽂힌 사실이 확인됐다＂며 ＂이를 통해 해킹용 악성코드가 군 내부망으로 침투해 보안이 약한 군 PC에서 기밀을 빼간 것으로 보인다＂고 말했다.

이 부대는 2년 전 창설됐으며 누가 언제 어떤 이유로 두 개의 랜카드를 서버에 함께 연결했는지는 파악 중이라고 이 관계자는 전했다. 군 당국은 부대 창설 당시 서버 작업을 맡았던 민간업자와 부대 관계자들을 상대로 구체적 경위를 조사 중이다. 또 군 조사결과 북한의 목함지뢰 도발 1주기인 8월 4일 이 부대의 백신중계 서버에 악성코드가 최초 로그(접속)한 기록이 확인됐고, 이후 9월 23일 악성코드가 대량 유포된 사실이 드러났다.

다른 관계자는 ＂해킹에 사용된 인터넷 주소(IP)를 추적한 결과 북한 해커들이 주로 활동하는 중국 선양(심양)으로 파악됐고, 해킹에 사용된 악성코드도 북한이 그간 (대남해킹)에 사용한 것과 유사하다＂고 말했다. 이에 따라 군은 북한 정찰총국 산하 사이버지도국(121국)의 소행일 가능성이 높다고 보고 있다. 북한 121국은 과거 한국수력원자력과 방송사 해킹을 주도한 해킹부대로 올 3월 채택된 유엔안전보장이사회 결의 2270호의 제재 리스트에도 포함됐다.

군 소식통은 ＂3급 이하 군사기밀과 대외비 자료 일부가 유출된 것으로 파악됐다＂면서도 ＂유출된 기밀 내용과 건수는 ＇역정보＇ 우려가 있고, 현재 사이버전을 수행 중이라 공개할 수 없다＂고 말했다. 그러면서 내부망 가운데 대북 군사작전 및 훈련에 사용하는 전장망에서는 악성코드가 발견되지 않았다고 설명했다. 하지만 일각에선 군 당국이 대북 작전계획(OPLAN)이나 이와 연관된 민감한 기밀자료가 유출됐을 개연성을 배제할 수 없다는 지적이 나온다. 이런 우려가 현실화될 경우 작계를 새로 작성해야 하는 등 큰 파장이 예상된다.

그간 군은 북한의 해킹시도 때마다 외부망과 군 내부망이 분리돼 악성코드의 내부침투 및 기밀유출 가능성이 낮다고 주장해왔다. 하지만 이번 사태로 군 사이버보안의 허점이 여실히 드러났다는 비판이 제기된다.

망 분리 등 물리적 시스템을 갖춰도 군내에서 관련규정을 어기거나 실수로 내·외부망이 연결될 경우 외부세력의 해킹에 노출될 수 있다는 위험성을 간과했다는 것이다. 군 당국자는 ＂군이 그간 ＇망 분리＇를 전가의 보도처럼 해킹 예방책으로 밝혔지만 북한으로 추정되는 해킹세력이 그 틈을 비집고 기습한 것＂이라고 말했다.

백신중계 서버를 노린 것은 해킹 효과의 극대화를 위한 것으로 보인다. 백신중계 서버와 연결된 모든 컴퓨터의 보안과 시스템 파일 등은 자동 업그레이드돼 이 서버가 악성코드에 감염되면 이와 연결된 수많은 PC도 순식간에 악성코드에 감염돼 ＇좀비 PC＇가 될 수 있기 때문이다. 전문가들은 이런 공격방식을 ＇도둑이 경비원 복장을 하고 침투하는 것＇에 비유한다. 북한은 2013년 방송사와 금융사 전산망 해킹 때도 백신중계 서버를 집중 공략해 최대한 빠르고 광범위한 피해 효과를 노린 바 있다.

전문가들은 해킹을 100% 막는다는 건 불가능하다고 보고 군이 망 분리 외에 철저한 인적 보안 관리를 통해 해킹을 최대한 예방하는 게 관건이라고 지적했다.

윤상호 군사전문기자 ysh1005@donga.com