軍 “작년 국방망 해킹은 北 소행” 결론

IP 추적 결과 中 선양지역 식별 / 韓국방 PC 포함 3200대 감염 / 백신납품 업체 고의 사건은폐 / 허술한 전산망 관리 화 자초
국방부 검찰단은 2일 지난해 9월 발생한 국방망(國防網·내부 인트라넷) 해킹 사건 수사 결과를 발표하면서 “북한 해커 조직이 주도했다”고 밝혔다. 군 검찰에 따르면 국방망 공격에 사용된 IP 가운데 일부가 기존 북한 해커들이 주로 활용하던 중국 랴오닝(遼寧)성 선양(瀋陽) 지역 IP로 식별됐고, 북한 해커들이 사용하는 악성코드와 유사했다.

이번 해킹으로 악성코드에 감염된 군 PC는 3200여대에 달하는 것으로 조사됐다. 이 가운데 국방망 PC는 약 700대, 인터넷 PC는 약 2500대로 한민구 국방부 장관의 인터넷 PC도 포함됐다. 군 검찰은 사건의 책임을 물어 기밀 유출과 관련해 책임선상에 있는 국군사이버사령관(육군소장)과 국방통합데이터센터장(예비역 육군준장) 등 26명의 징계를 의뢰하고, 한국국방연구원 사업관리자 등 7명의 비위 사실을 각 기관에 통보했다.

군 검찰에 따르면 2015년 1월과 5월 북한으로 추정되는 세력이 국방부에 백신을 납품하는 업체 백신 자료를 대거 해킹한 후 이번에 해킹 수단으로 이용했다. 관계자는 “백신 납품업체를 해킹해 인증서와 백신 소스코드 등의 정보를 수집, 분석한 해커가 이후 국방부의 인터넷 백신 중계서버에 침투해 군 인터넷망의 서버와 PC에 악성코드를 유포했다”면서 “악성코드에 감염된 PC 사용자 중 보안규정을 지키지 않은 사람의 비밀을 포함한 각종 군사자료들이 해커 공격으로부터 탈취됐다”고 설명했다.

문제는 이 백신 납품업체가 2015년 2월 경찰청 사이버안전국으로부터 북한 해커에 의한 해킹 사실을 통보받고도 국방부에 이 내용을 알리지 않는 등 고의적으로 사건을 은폐했다는 점이다.

특히 업체는 국방망과 인터넷망을 분리 시공해야 하는 규정을 어기고 두 서버를 연결(망혼용)해 시공까지 했다. 국방망이 해킹에 취약할 수밖에 없는 구조를 가지고 있었던 셈이다. 국군기무사령부와 국방정보본부 평가와 정기 보안감사에서도 이러한 망혼용은 식별되지 않았던 것으로 확인됐다. 결과적으로 이번 사건은 북한의 치밀한 사이버 공격과 우리 군의 허술한 전산망 관리가 복합적으로 작용해 빚은 사건으로 기록될 전망이다.

군 검찰은 이번에 어떤 군사자료가 유출됐는지에 대해서는 입을 다물었다. 군 관계자는 “일각에서는 전면전을 수행하는 작전계획 5027이 유출됐을 가능성을 거론하나 완벽한 작전계획 유출은 없는 것으로 알고 있다”고 말했다.

한편 국방부가 대선을 앞두고 파장이 큰 국방망 해킹사건을 발표하자 군 수뇌부 책임을 회피하기 위한 꼼수라는 지적이 나오고 있다.

박병진 군사전문기자 worldpk@segye.com