군 내부 전용 사이버망(인트라넷) 해킹 사태는 예하 부대의 백신중계 서버가 관리 부실로 외부 인터넷망(외부망)과 군 내부망이 연결되면서 초래됐다고 국방부가 6일 밝혔다.
군 관계자는 "예하부대의 한 백신중계 서버에 외부망과 국방망(내부망)을 각각 연결하는 랜카드 2개가 꽂힌 사실이 확인됐다"며 "이를 통해 해킹용 악성코드가 군 내부망으로 침투해 보안이 약한 군 PC에서 기밀을 빼간 것으로 보인다"고 말했다.
이 부대는 2년 전 창설됐으며 누가 언제 어떤 이유로 두 개의 랜카드를 서버에 함께 연결했는지는 파악 중이라고 이 관계자는 전했다. 군 당국은 부대 창설 당시 서버 작업을 맡았던 민간업자와 부대 관계자들을 상대로 구체적 경위를 조사 중이다. 또 군 조사결과 북한의 목함지뢰 도발 1주기인 8월 4일 이 부대의 백신중계 서버에 악성코드가 최초 로그(접속)한 기록이 확인됐고, 이후 9월 23일 악성코드가 대량 유포된 사실이 드러났다.
군 소식통은 "3급 이하 군사기밀과 대외비 자료 일부가 유출된 것으로 파악됐다"면서도 "유출된 기밀 내용과 건수는 '역정보' 우려가 있고, 현재 사이버전을 수행 중이라 공개할 수 없다"고 말했다. 그러면서 내부망 가운데 대북 군사작전 및 훈련에 사용하는 전장망에서는 악성코드가 발견되지 않았다고 설명했다. 하지만 일각에선 군 당국이 대북 작전계획(OPLAN)이나 이와 연관된 민감한 기밀자료가 유출됐을 개연성을 배제할 수 없다는 지적이 나온다. 이런 우려가 현실화될 경우 작계를 새로 작성해야 하는 등 큰 파장이 예상된다.
그간 군은 북한의 해킹시도 때마다 외부망과 군 내부망이 분리돼 악성코드의 내부침투 및 기밀유출 가능성이 낮다고 주장해왔다. 하지만 이번 사태로 군 사이버보안의 허점이 여실히 드러났다는 비판이 제기된다.
망 분리 등 물리적 시스템을 갖춰도 군내에서 관련규정을 어기거나 실수로 내·외부망이 연결될 경우 외부세력의 해킹에 노출될 수 있다는 위험성을 간과했다는 것이다. 군 당국자는 "군이 그간 '망 분리'를 전가의 보도처럼 해킹 예방책으로 밝혔지만 북한으로 추정되는 해킹세력이 그 틈을 비집고 기습한 것"이라고 말했다.
백신중계 서버를 노린 것은 해킹 효과의 극대화를 위한 것으로 보인다. 백신중계 서버와 연결된 모든 컴퓨터의 보안과 시스템 파일 등은 자동 업그레이드돼 이 서버가 악성코드에 감염되면 이와 연결된 수많은 PC도 순식간에 악성코드에 감염돼 '좀비 PC'가 될 수 있기 때문이다. 전문가들은 이런 공격방식을 '도둑이 경비원 복장을 하고 침투하는 것'에 비유한다. 북한은 2013년 방송사와 금융사 전산망 해킹 때도 백신중계 서버를 집중 공략해 최대한 빠르고 광범위한 피해 효과를 노린 바 있다.
윤상호 군사전문기자 ysh1005@donga.com