[일요서울 | 오두환 기자] 북한 해커 세력이 활개를 치고 있다. 현대화 전쟁의 승패는 사이버상에서 갈릴 확률이 높다. 하지만 우리나라 정보 보안체계 및 대응방식은 문제점 투성이다.

지난해에는 북한 해커조직이 금융정보 보안업체를 해킹한 사건이 발생하기도 했다. 당시 해커조직은 금융보안전문업체의 전자인증서를 탈취한 뒤, 이를 일부 위조해 만든 악성프로그램을 유포했다. 그 결과 악성프로그램은 국세청, 서울시청, 산림청 등 10개 기관으로 퍼져나갔다.

이 악성프로그램에는 컴퓨터 내에 있는 저장정보를 빼낼 수 있는 기능이 있었다. 이런 가운데 최근에는 북한의 해커세력으로 추정되는 조직에 의해 군 내부망이 뚫렸다. 2010년 1월 국군 사이버사령부 창설 이래 서버가 해커의 공격에 뚫린 것 처음있는 일이다. 

각 군 작전계획 유출됐다면 모두 새로 짜야 할 판
북한, 국내 주요 인물 표적삼아 해킹 시도중

북한 해커 세력의 사이버사령부 서버 해킹은 ‘사이버 철책’이 뚫렸음을 의미한다. 그만큼 심각한 상황이다. 국방부는 해킹 사고 조사를 위해 국군기무사령부, 헌병, 합동참모본부, 사이버사령부 등이 모두 참여한 국군사이버합동조사단을 긴급 편성했다.

해킹 사실을 알게 된 경위에 대해 군 관계자는 “군 인터넷 백신체계 해킹사고 조사를 진행하던 중 군 내부 전용망 일부 컴퓨터가 악성코드에 감염된 것이 식별됐다”고 전했다. 

로그파일 분석 결과 최초 악성코드 감염시점은 8월 4일로 밝혀졌다. 악성코드가 대량으로 퍼지기 시작한 시점은 9월 23일이다. 약 2개월 동안 육·해 ·공군의 모든 자료들이 해킹에 무방비로 노출된 셈이다.

악성코드 감염 PC
약 3,200대

북한 추정 해커세력은 8월 4일 백신중계서버를 최초로 공략해 악성코드를 심었다. 우리 군은 백신을 별도로 업데이트하고 있다. 백신중계서버에 PC를 직접 연결해 백신을 업데이트하는 방식이다. 

군에 따르면 이번에 발견된 악성코드는 좀비PC 원격통제 기능과 자료 전송 기능이 있던 것으로 알려졌다. 백신중계서버에 연결됐던 PC는 총 2만 여대로 알려졌다. 군은 이 중 3,200여 대 PC가 악성코드에 감염됐다고 공식 확인했다. 인터넷용 PC 2,500여 대, 인트라넷용 PC 700여 대 등이다. 

한민구 국방부 장관을 비롯한 군 수뇌부가 사용하는 컴퓨터도 감염됐을 가능성이 있다. 하지만 국방부는 유출 정보와 피해규모를 정확히 밝히지 않고 있다. 해킹 세력에게 군의 대응 수준이 노출될 수 있다는 이유다. 군 당국은 유출된 정보들은 2급 이하로 추정하고 있다.

2개월간 국방정보
탈탈 털렸다

북한 해커 세력에 의해 해킹을 당한 곳은 국방통합데이터센터(DIDC)다. 육·해·공군의 모든 정보가 모이는 ‘정보의 천국’이자 우리나라 군의 ‘심장부’다. 

DIDC는 2년 전 체계적인 국방정보시스템의 관리·운영을 위해 설립이 추진돼 지난해 문을 열었다. 이 곳에서는 각 군에 산재된 모든 정보를 통합 관리한다. 국방부 관계자에 따르면 DIDC의 여러 서버 중 한 개가 해킹을 당한 것으로 알려졌다. 

DIDC는 2개의 센터로 나뉘어 운영되고 있다. 용인센터와 계룡대센터다. 용인센터는 국방부·기무사령부·사이버사령부·방위사업청 등의 정보시스템을 관리하고 계룡센터는 육·해·공군의 모든 데이터가 모이는 곳이다. 이번에 피해를 입은 곳은 육·해·공군의 정보를 담당하는 계룡센터다. 

국방부는 용인센터는 안전하다고 발표하면서 민감한 정보유출은 없다고 말하고 있다. 용인센터와 계룡센터는 개별적으로 운영·관리되기 때문이란 게 그 이유인데 문제는 재해·재난 등 유사시를 대비해 상호 백업체계를 구축해 놓았다는 점이다. 백업 서버까지 해킹을 당했다면 용인센터 자료도 유출됐을 가능성이 있다. 

최악의 경우 이번 해킹으로 육·해·공군이 보유한 작전계획 등이 유출됐다면 모든 군사 작전계획을 새로 작성해야 한다. 

“랜카드 2개가 동시에”
 결국 인재였다

우리나라 군 전산망은 인트라넷망, 인터넷망, 전술지휘통제자동화(C4I)망 3가지로 나뉜다. 각각의 망은 분리 운용돼 해킹의 가능성이 낮다. 그런데 이번 사고는 인트라넷망과 인터넷망을 동시에 쓰는 상황이 발생해 해킹이 가능했다.

하나의 서버에 인트라넷용과 인터넷용 2개의 랜카드를 동시에 사용한 것이다. 한마디로 인재에 의한 사고였다. 국방부도 “관리 부실로 그것을 발견 못했다”고 밝혔다. 

이런 어처구이가 없는 일이 발생한 상황에 대해 국방부는 민간 IT기업이 참여한 계룡센터 설립 당시 백신 중계 서버를 설치하는 과정에서 시스템 설치 편의상 인트라넷과 랜카드 2개를 꽂아 사용한 것을 발견하지 못했다고 전했다. 

기본적인 규칙도 지켜지지 않았지만 관리와 감독도 제대로 이뤄지지 않은 것이다. “라인이 굉장히 복잡해 사용자들이 모를 수 있다”는 군 관계자의 해명은 변명일 뿐이다.

한편 국방부가 이번 해킹을 북한의 소행이라고 추정하는 이유는 해커 세력이 침입한 IP주소가 중국 선양으로 밝혀졌기 때문이다. 선양은 북한 정찰총국 해커들이 주로 활동하는 지역으로 알려졌다. 군 관계자는 이번에 발견된 악성코드 패턴도 북한의 것과 같거나 유사하다고 전했다.

현재 우리나라와 북한은 사이버 전쟁 중이다. 북한은 남한으로의 해킹을 더욱더 강화하며 그 대상을 넓히고 있다. 민간기업에서 공기업으로 이제 군대까지 노리고 있는 상황이다. 최근에는 주요인물을 표적으로 삼아 해킹을 시도하고 있는 것으로 알려졌다. 그 어느 때보다 사이버 보안이 중요한 시가다.