국방망해킹 후 8개월…사이버 철책선, 여전히 허술

사이버 안보체계 점검이 시급하다. 지난해 북한 추정 세력에 해킹당한 국방부는 8개월이 지나도록 피해 규모도 파악하지 못한다. 초기 사이버 공격 피해를 축소해 발표했다가 책임 떠넘기기에 급급하다. 사고 후 내놓은 대책도 땜질 처방인데다 이마저 제대로 지키지 못한다는 지적이 높다. 세계가 사이버 전쟁이 한창인데 우리 군은 관련 정책도 없고 전문가도 부족하다.

지난해 10월 김진표 더불어민주당 의원은 국군 사이버사령부가 해킹 당했다고 발표했다. 같은 해 12월 국방부는 2010년 1월 부대 창설 후 사이버사가 해킹당한 사실을 인정했다. 국방사이버합동조사팀은 군사기밀을 포함해 일부 자료 유출을 시인했지만 최근 한미 연합군 대북 군사작전계획 5027과 같은 2급 군사기밀까지 나간 것으로 밝혀졌다.

◇언제 해킹 됐나

국방부는 지난해 9월 23일 국방망에 대량의 악성코드가 침투한 정황을 발견했다. 인터넷용 PC 2500대와 인트라넷용 PC 700여대가 악성코드에 감염됐다. 그러나 로그분석결과 최초 침투 시기는 8월 4일이었다. 한 달 넘게 악성코드 감염 사실을 인지하지 못했다. 같은 해 9월 25일 한민구 국방장관은 사이버사령부 백신중계서버가 해킹당한 것을 보고받았다. 이후 국가정보원, 합동참모본부, 사이버사, 기무사, 국방조사본부 등에서 인력을 뽑아 합동조사팀을 꾸리고 국방사이버방호체계를 조사했다.

◇사이버 공격 피해 범위는

국방부는 최초 사이버사령부 백신중계서버가 해킹됐다고 밝혔지만 조사 결과 육해공군 정보를 담당하는 계룡 국방통합데이터센터(DIDC)에서 군 내부망과 외부 인터넷을 혼용한 사실을 발견했다. 군은 2년전 DIDC를 구축하는 과정에서 용역 업체 직원이 국방망에 필요한 프로그램 설치를 위해 인터넷을 연결했고 이를 끊지 않아 2개 망이 연결됐다고 밝혔다. 2년 넘게 망혼용을 감지하지 못했고 해커에게 문을 열어줬다. 해커는 이 통로를 활용해 국방망까지 침투했고 한민구 국방 장관 PC도 해킹했다.

◇누구의 소행인가

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

국방부는 지난해 12월 공식 발표에서 “해킹을 시도한 원점을 파악하지 못했다”고 밝혔다. 해킹 방식이나 군사 자료를 빼간 것을 고려해 북한 소행으로 추정했다. 해킹에 쓰인 악성코드가 그동안 북한이 사용한 것과 유사하다. IP주소는 북한 해커가 많이 활동하는 중국 선양 소재로 확인됐다.

일부에선 국방망을 관리하던 보안업체 직원 일부가 종적을 감췄다며 남파 간첩 연루성을 제기했다. 군 합동수사단은 지난 2월 국방부 백신프로그램 납품 기업을 압수수색했다. 이 때 국방망 백신프로그램 '소스코드' 유출 정황을 확인했다고 보도했지만 확인되지 않는다. 국방부는 보안프로그램을 납품 받을 때 관련 기업 직원 신원을 모두 조회한다. 해당 백신사 관계자는 “현재 종적을 감춘 직원은 한 명도 없다”고 밝혔다.

◇군 사이버 보안 대책은

군은 지난해 말 해킹 사고와 연관된 백신을 상반기 중 교체한다고 밝혔다. 그러나 군은 해당 업체와 백신 프로그램 사용 계약을 연장했다. 보안전문가는 “국방부가 사고 직후 급조한 대책을 내놨다가 지키지 못하는 상황”이라고 지적했다. 백신 기업들은 국방부 프로젝트 참여를 꺼린다. 국방부가 앞으로 3년간 제시한 예산은 약 32억원이다. 지난번 예산보다 늘어났지만 국방부 백신 선정과 동시에 적의 표적이 되는 위험 부담이 만만치 않다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

김인순 보안 전문기자 insoon@etnews.com