"8월4일 첫 내부망 해킹시도…9월 23일 백신 중계서버 통해 대량 유포"
'컴퓨터에 비문 보관하고 서버에 내·외부망 동시접속도 몰라'…軍보안 큰 구멍

군 내부 전용 사이버망을 해킹한 IP주소가 북한 해커들이 많이 활동하는 중국 선양에 소재하고, 해킹에 활용된 악성코드도 북한이 그동안 사용했던 것과 유사한 것으로 확인됐다.

군 당국은 이를 근거로 이번 군 내부망 해킹사건을 북한 소행으로 추정하고 있는 것으로 전해졌다.

군의 한 관계자는 6일 "군 내부망을 해킹한 해커들은 중국 선양에 있는 IP주소로 접속한 것으로 파악됐다"면서 "해킹에 쓰인 악성 코드도 북한이 그동안 여러 해킹에 사용했던 것과 비슷하거나 동일하다"고 말했다.

북한은 지난 2014년 한국수력원자력 원전 도면 해킹사건 등에서 선양에 있는 IP주소를 집중적으로 활용한 바 있다.

군 당국이 그동안 '내부 국방망은 인터넷과 분리돼 있어 안전하다'고 밝혀왔다.

그러나 한 부대의 백신 중계서버에 인터넷망과 내부망이 함께 연결되면서 내부망까지 악성코드에 감염된 것으로 합동조사단의 조사 결과 드러났다.

군 관계자는 "예하부대의 한 서버에 접점이 있었다"면서 "이 부대의 서버에 인터넷망과 국방망 랜카드가 모두 꽂혀 있었다"고 말했다.

이 부대는 2년 전에 창설됐으며, 누가 언제 어떤 목적으로 두 개의 랜카드를 서버에 함께 연결했는 지는 아직 파악되지 않았다.

군 당국은 부대 창설 당시 서버작업을 맡았던 민간업자가 의도적으로 두 망을 연결했을 가능성도 배제하지 않고 있다.

대공 용의점이 있을 가능성도 제기된다.

이 관계자는 "8월 4일부터 악성코드가 로그 기록에 남아있다"면서 내부망에 최초로 침투한 시점이 8월 4일이라고 말했다.

이후 9월 23일에 악성 코드가 백신 중계서버를 통해 대량유포된 것을 발견했다.

이틀 뒤 인터넷망과 내부망이 연결된 서버를 파악해 분리해 추가 확산을 막았다.

그는 "미상의 방법으로 인터넷 PC를 좀비화하고 백신체계 정보를 수집한 뒤에 백신체계를 해킹해서 다량의 악성코드를 유포했다"면서 "규정위반과 관리적 부주의로 연결된 망을 활용해 자료가 유출된 것으로 조사됐다"고 말했다.

규정상 비밀작업은 망에서 분리하고 작업이 끝난 뒤 이를 이동식저장장치(USB)에 담아서 보관해야 하지만, 일부 컴퓨터에 비밀자료가 남아있어 이 자료들이 유출된 것으로 파악됐다.

그는 여러 단말기가 연결된 복수의 백신 중계서버가 악성코드에 감염됐지만 감염된 전체 단말기의 규모는 밝히지 않았다.

또 유출된 군사기밀의 규모에 대해서도 "현재 우리는 사이버전은 진행 중"이라며 "군의 대응능력을 노출할 수 있다"며 공개하지 않았다.

다만 "군사비밀정보보호협정(GSOMIA)을 통해 외국에서 받은 비밀은 이번에 유출되지 않았다"고 설명했다.

그는 "군의 정보체계는 업무용 인터넷망과 국방망, 작전에 사용되는 전장망 등 3곳인데 이번엔 전작망은 해킹되지 않았다"고 말했다.

군 관계자는 "인터넷망과 내부망의 혼용 사용 등을 관제해 발견할 수 있는 솔루션 개발 등이 시급하다"면서 "구체적인 대책을 마련중"이라고 말했다.

국방부는 이와 관련, 사이버안보태세 강화 TF를 구성해 내·외부망의 연결 접점 관리 개선방안, 백신체계 보강 및 교체방안 등의 대책을 수립 중이라고 밝혔다.

군 내부 전용 사이버망이 해킹으로 뚫린 것은 창군 이래 처음으로, 유출된 비밀의 중요도에 따라 적잖은 파장이 예상된다.

(서울연합뉴스) 이정진 기자 transil@yna.co.kr