2016년 7월 26일 신원 불상의 해커가 한국 국방부를 해킹했다. 군사 자료를 176개 유출했다. ‘국방’이라는 단어가 포함된 자료만 56MB(메가바이트) 규모다.

국가정보원과 기무사 등 군 수사기관은 △중국 선양 지역의 IP 주소를 사용한 점 △과거 북한이 사용한 악성코드와 유사한 점 △한글 자판 PC를 사용한 점 등을 토대로 북한 해커의 소행으로 추정했다.

책임을 놓고 국방부는 시스템통합(SI)기업 LG CNS, 작년 매출 94억원의 중소 백신 소프트웨어(SW) 제조사 하우리와 2017년 10월부터 5년 5개월에 걸친 소송전을 벌였다.

지난 3월 국방부 일부 승소 판결이 확정됐다. 판결문을 토대로 ‘북한 해커 한국 국방부 해킹 사건’을 재구성했다.
사진=게티이미지
사진=게티이미지
17일 법원 판결문 등에 따르면 해커는 인터넷 예비군 백신 중계 서버를 공격 대상으로 삼았다. 백신 중계 서버에 순차적으로 침투해 악성 코드를 유포했다.

2016년 9월 3일부터 21일까지 백신 업데이트 기능을 이용해 악성코드를 수정했다. 백신 업데이트 권한 등과 관련된 비밀키와 공개키 쌍이 다수 유출됐다.

조사 결과 국방부 내부 전산망과 외부 인터넷망의 분리가 제대로 돼 있지 않은 것으로 확인됐다. 국방부의 전산망 구축 작업은 계약직 직원들이 담당했다. 법원은 망 분리 작업을 제대로 하지 않은 LG CNS의 손해배상 책임이 있다고 했다.

국방부는 해킹 피해 발생 후 국방망에 연결된 PC 19만7038대에 대한 포맷 작업을 실시했다. 법원은 PC 1대당 포맷 작업에 들어가는 비용을 초급기술자 인건비 1만8431원으로 계산했다. 전산망 구축 이후 검수 작업을 제대로 하지 않은 국방부의 책임을 들어 전체 손해배상액의 50%인 3억5000만원을 LG CNS가 배상하라고 판결했다.

백신 프로그램을 제조한 하우리는 해킹 사실을 알고도 ‘보안사고 정보 외부 유출 시 회사 이미지와 신뢰도 추락’할 수 있다며 함구령을 내리고 사안을 축소하려 했다.

북한 추정 IP가 해킹에 사용됐음을 알았음에도 방화벽을 통해 차단하지 않아 후속 유출 사고가 발생했다는 사실 역시 확인됐다. 다만 법원은 이러한 정황만으로 국방부 해킹 사고의 책임이 하우리에 있다고 볼 수는 없다고 판단했다.

한편 최근 북한의 해킹 위협은 커지고 있다. 공인인증서 업데이트 기능을 악용한 해킹 공격이 다수 발생했다. 미국 정보기술(IT) 기업이 개최한 해킹대회에서는 1위부터 4위까지 모두 북한 대학생들이 이름을 올리기도 했다.

김진원/박시온 기자