군 관계자는 6일 “군 내부망을 해킹한 해커들은 중국 선양(瀋陽)에 있는 IP주소로 접속한 것으로 파악됐다”며 “해킹에 쓰인 악성코드도 북한이 예전부터 해킹에 사용했던 것과 비슷하다”고 말했다. 북한은 2014년 한국수력원자력 원전 도면 해킹 등에서 선양의 IP주소를 활용한 바 있다.
현재 우리 군이 사용 중인 사이버망은 업무용 인터넷망과 군 내부 전용 인트라넷인 국방망, 군사작전 등에 쓰이는 전장망으로 구성된다. 각각의 망은 분리되어 있어 기밀자료 외부 유출을 예방할 수 있도록 구축됐다. 하지만 국방사이버합동조사팀 조사 결과 한 부대에서 사용하는 백신 중계서버에 인터넷망과 국방망이 함께 연결됐던 것으로 드러났다.
해커는 먼저 인터넷 PC를 좀비화해 백신 정보를 수집한 뒤 백신 업데이트를 담당하는 중계서버를 해킹해 일부 인터넷망 서버를 감염시켰다. 감염된 서버 중 인터넷망과 국방망이 함께 연결된 부대의 백신 중계서버를 통해 악성코드가 국방망에 침입하면서 서버와 연결된 복수의 컴퓨터에 저장된 기밀이 외부로 유출됐다.
군 관계자는 “2년 전 창설된 이 부대의 서버에 인터넷망과 국방망 랜(LAN)카드가 모두 꽂혀 있었다”며 “랜카드 두 개를 서버에 함께 연결한 이유는 아직 파악되지 않았다”고 설명했다. 군 관계자는 “로그 기록으로 볼 때 지난 8월4일 악성코드가 처음 침투했으며 9월23일 백신 중계서버를 통해 대량유포된 것을 발견해 이틀 뒤 인터넷망과 국방망이 연결된 서버를 파악해서 분리했다”고 설명했다. 이 관계자는 유출된 군사기밀 종류에 대해서는 “군의 대응능력을 노출할 수 있다”며 설명을 거부했다.
해킹 직후 국방부는 ‘사이버 안보태세 강화 TF’를 구성해 백신 프로그램 개선 등 대책 마련에 나섰다. 하지만 군 사이버망 사용자의 보안의식 제고가 선행되어야 한다는 목소리가 높다. 문제가 된 부대의 서버에 내?외부망이 함께 연결되어 있었지만 군당국은 연결 시점과 목적, 이유 등을 파악하지 못했다. 서버 구축 시점을 고려하면 최대 2년 동안 보안에 구멍이 뚫렸는데도 몰랐을 가능성을 배제할 수 없다. 컴퓨터에 비밀문서를 남기지 않도록 한 보안 규정도 지켜지지 않았다. 규정에 따르면 비밀문서 작업은 내?외부망을 차단한 채 진행하고, 작업이 끝나면 이동식저장장치(USB)에 보관해 컴퓨터가 해킹돼도 유출되는 기밀문서는 없도록 해야 한다. 하지만 이번 사건에서는 이런 규정이 제대로 지켜지지 않아 군 기밀 유출의 빌미를 제공했다는 지적이다.
박수찬 기자 psc@segye.com
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]
![[설왕설래] 우주항공청과 존 리](http://img.segye.com/content/image/2024/04/24/128/20240424518768.jpg
)
![[세계포럼] ‘절대의석’이 부른 삼권분립 위기](http://img.segye.com/content/image/2023/06/07/128/20230607522919.jpg
)
![[세계타워] 허먼 멜빌의 ‘모비딕’ 완독기](http://img.segye.com/content/image/2024/01/31/128/20240131519365.jpg
)
![[다문화칼럼함께하는세상] 언제까지 미생일까?](http://img.segye.com/content/image/2024/04/24/128/20240424518742.jpg
)
