인터넷과 분리된 군전용 사이버망 해킹은 보안 규정을 어긴 인재(人災)로 드러났다. 호시탐탐 군을 비롯해 국내 주요기반시설을 노리는 북한 사이버전사에 구멍을 그대로 노출했다. 망분리 맹신이 군에도 만연했다.
그동안 군 당국은 내부 국방망은 인터넷과 분리돼 안전하다고 밝혔다. 그러나 합동조사단 조사 결과 한 부대 백신 중계 서버에 인터넷망과 내부망이 함께 연결돼 사용됐다. 이를 통해 인터넷PC망을 감염시킨 악성코드가 내부망까지 들어갔다. 어떤 보안 솔루션에 탐지되지 않고 정상 트래픽으로 간주돼 내부망을 감염시켰다.
연합뉴스와 인터뷰한 군 관계자는 “예하부대 한 서버에 접점이 있었다"면서 ”이 부대 서버에 인터넷망과 국방망 랜카드가 모두 꽂혀 있었다"고 밝혔다. 국방망을 폐쇄망으로 운영해야 하는 보안 규정을 어긴 조치다. 공격자에게 국방망 문을 그대로 열어 준 것이나 마찬가지다.
이 관계자는 “8월 4일부터 악성코드가 로그 기록에 남아있다”면서 해커가 최초로 침투한 시점이 8월 4일로 추정했다. 이후 9월 23일에 악성 코드가 백신 중계서버를 통해 대량유포된 것을 발견했다. 악성코드가 처음 침투한 시점부터 대량 유포되기까지 두 달 가까이 지났지만 군은 아무 대응도 하지 않았다. 대량 유포 이틀 뒤에야 감염된 중계서버들을 망에서 분리했다.
군은 9월 당시 내부망에 악성코드가 감염됐는지 파악하지 못했다. 9월 말 합동조사단이 꾸려지면서 내부망 피해사실을 뒤늦게 파악했다. 합동조사단은 여전히 최초 악성코드 감염 경로를 파악하지 못했다.
그는 “아직 알아내지 못한 방법으로 인터넷PC를 좀비화하고 백신체계 정보를 수집한 후 해킹해 악성코드를 유포했다”면서 “규정위반과 관리 부주의로 연결된 망을 활용했다”고 덧붙였다.
현재 군은 여러 단말기가 연결된 복수의 백신 중계서버가 악성코드에 감염됐지만 감염된 전체 단말기 규모는 밝히지 않았다. 군사 기밀 유출 규모도 공개하지 않았다.
국방부는 사이버안보태세 강화 TF를 구성해 내·외부망 연결 접점 관리 개선방안, 백신체계 보강과 교체방안 등 대책을 수립할 계획이다.
A 보안 전문가는 “국방망을 해킹한 IP주소가 북한 해커가 활동하는 중국 선양이고 과거 것과 유사하더라도 국가 주요시설 보안 규정을 지키지 않은 인재임이 분명하다”면서 “군이 기초적인 보안 규정을 지키 않은 것에 책임을 져야 할 것”이라고 지적했다.
김인순 보안 전문기자 insoon@etnews.com