군 내부 사이버망 어떻게 뚫렸나…혼용서버 존재 2년간 '깜깜'

외부망 PC 감염→내·외부 동시접속 서버 감염→내부망 PC 감염
'컴퓨터에 비밀문서 남겨두면 안된다'는 보안규정 위반

군 내부 전용 사이버망이 북한으로 추정되는 해킹세력에 뚫리면서 충격을 주고 있다.

이번 사태는 한 부대의 서버에 내·외부망이 동시 접속돼 있었지만, 최대 2년간 이를 누구도 몰랐다는 부주의와 개인 컴퓨터에는 어떤 비밀문서도 남겨둬선 안 된다는 규정을 지키지 않아 빚어진 참사로 밝혀졌다.

군은 지금까지 해킹사건이 발생할 때마다 '내부망은 인터넷망과 분리돼 있어 안전하다'는 설명을 반복했지만, 이번 사태로 군 내부망도 결코 해킹의 안전지대가 아니라는 점이 드러나 보안대책을 완전히 새로 짜야 한다는 지적이 나오고 있다.

◇ 백신 서버에 내·외부망 함께 연결됐는데도 최대 2년간 '깜깜'

6일 군 당국의 설명을 종합해보면, 이번 해킹사건은 통상적인 북한의 해킹 시도와 비슷하게 시작됐다.

지난 8월 4일 시작된 해킹 공격으로 외부망에 접속된 한 컴퓨터가 악성 코드에 감염된 것이다.

해킹세력은 이 컴퓨터를 좀비 PC로 만든 뒤 여기에 깔린 백신 프로그램을 분석해 군 백신 체계의 허점을 파악했다.

해킹세력은 여기서 파악된 허점을 토대로 백신 중계 서버를 집중적으로 공략하기 시작했다.

백신 중계 서버는 각 단말기의 백신 프로그램을 강제로 업데이트하기 때문에 일단 감염시키면 업데이트 과정에서 악성 코드를 대량 유포할 수 있다.

보안 업데이트가 제대로 이뤄지지 않은 일부 백신 중계 서버가 악성 코드에 감염됐다.

감염된 백신 중계 서버는 외부망용으로, 여기까지라면 군 내부망은 안전하다.

그런데 악성 코드에 감염된 서버 중 한 곳이 외부망과 내부망이 함께 연결돼 있었다.

외부망을 타고 들어온 악성 코드가 내부망에 침투할 수 있는 문이 열린 것이다.

해당 서버는 2년 전 창설된 부대에 설치된 것으로, 언제부터 내·외부망이 함께 연결돼 있었는지 군 당국은 아직도 파악하지 못하고 있다.

처음 서버작업을 할 때부터라면 2년간 보안에 큰 구멍이 뚫렸는데도 몰랐을 수 있다는 얘기다.

해킹세력은 곧 내부망에 침투했고, 내부망 전용의 백신 중계 서버도 여러 대 감염시켰다.

이후 9월 23일 인터넷망에서 하던 것과 동일한 방법으로 백신 중계 서버를 통해 강제 업데이트를 하는 과정에서 악성 코드를 대량 유포했다.

군 당국은 이틀 뒤 감염된 백신 중계 서버들을 모두 망에서 분리, 악성 코드 확산 차단에 나섰지만 이미 상당수 군사기밀이 빠져나간 뒤였다.

◇ '컴퓨터에 비밀문서 남겨놓으면 안된다' 보안 규정 위반

군사기밀이 빠져나간 부분은 또 다른 문제다.

원래 군 보안 규정상 컴퓨터에는 어떤 비밀문서도 남겨둬선 안 된다.

비문 작업은 내·외부망을 모두 차단한 채 해야 하며, 작업이 끝나면 이동식저장장치(USB)에 담아 보관해야 한다.

즉, 컴퓨터가 해킹됐더라도 가져갈 비문은 없어야 정상인 셈이다.

군 관계자는 "사용자가 기밀작업을 할 때는 컴퓨터에 저장을 못 하게 돼 있는데 이런 규정이 일부 지켜지지 않았다"고 말했다.

이렇게 빠져나간 군사비밀이 어느 정도 규모인지 군 당국은 밝히지 않고 있다.

군 관계자는 "피해 상황을 모두 파악하고는 있다"면서도, 북한과 사이버전쟁 중인데 빠져나간 비밀의 규모를 우리가 구체적으로 밝히면 우리의 정보능력 수준을 북한이 파악할 수 있어 공개할 수 없다고 말했다.

다만, 군사작전에 필요한 기밀들을 주고받는 전장망(전술지휘통제자동화체계·C4I)은 이번 해킹에서 피해가 없었다고 설명했다.

그러나 일부에선 군 당국이 개인 컴퓨터에서 유출된 자료를 모두 파악하기는 쉽지 않을 것이라는 점에서 여전히 전모를 확인하지 못했을 가능성도 제기하고 있다.

만약 해킹으로 우리 군의 작전계획 등 민감한 자료까지 북한에 새나갔다면 이를 새로 작성해야 하는 상황까지 벌어질 수 있다.

군 당국은 일단 보안 프로그램의 자동업데이트를 금지하고 모두 수동으로 업데이트하도록 하고 있다.

또 육군 대령을 팀장으로 하는 사이버 안보태세 강화 TF를 구성해 내·외부망의 연결 접점 관리 개선방안, 백신 체계 보강 및 교체방안 등의 대책을 수립 중이다.

군 관계자는 "인터넷망과 내부망의 혼용 사용 등을 관제해 발견할 수 있는 솔루션 개발 등이 시급하다"고 말했다.

그러나 북한의 사이버전 능력이 급신장하는 것과 달리 우리 군의 대응은 크게 미흡하다는 지적이 적지 않다.

군 당국에 따르면 북한의 사이버전 인력은 해커 1천700여명, 지원조직 5천100여명 등 모두 6천800여명에 이르는 것으로 파악되고 있다.

이들 가운데 상당수는 중국 선양 등 해외 거점에서 활동하고 있는 것으로 전해졌다.

(서울연합뉴스) 이정진 기자 transil@yna.co.kr