작년 9월 국방망 해킹, 北 소행 추정

국방부 검찰단은 2일 지난해 9월 발생한 국방망 해킹 사건이 북한 해커 조직의 소행으로 추정된다는 수사 결과를 발표했다.

검찰단은 “국방망 공격에 사용된 IP 중 일부가 기존 북한 해커들이 활용하던 중국 선양 지역의 IP로 식별됐다”고 밝혔다. 또 “유포된 악성코드 분석 결과 기존 북한 해커들이 활용한 악성코드와 유사한 것으로 확인됐다”고 설명했다.

수사 결과 해커들은 이번 해킹에 앞서 2015년 1월과 5월 국방부에 백신을 납품하는 업체를 먼저 해킹해 백신 기술 정보를 탈취했다. 백신 소스코드 등 정보를 수집해 분석한 해커들은 국방부 인터넷 백신중계 서버에 침투, 군 인터넷망 서버와 PC에 악성코드를 유포했다. 여기에 그치지 않고 국방통합데이터센터(DIDC) 2센터에서 군 인터넷망과 국방망의 접점을 발견한 뒤 국방망에 침투해 악성코드를 유포했다.

검찰단은 악성코드에 감염된 PC 사용자 중 보안규정을 준수하지 않은 사용자의 비밀을 포함한 군사 자료들이 유출됐다고 설명했다. 하지만 구체적으로 어떤 자료가 유출됐는지에 대해서는 밝히지 않았다. 북한과의 전면전 등을 상정한 ‘작전계획 5027’ 등의 유출 가능성이 제기됐지만 함구했다.

검찰단은 수사 과정에서 백신 납품 업체가 경찰로부터 해킹 사실을 통보받고도 이를 은폐한 사실을 확인했다. 더욱이 이 업체는 자사 백신의 문제점을 알면서도 업데이트 키(key)를 변경하지 않아 국방망 해킹으로 이어지는 빌미를 제공했다고 검찰단은 설명했다. DIDC 서버는 국방망과 인터넷망이 분리돼야 하지만 시공사가 업무 편의를 위해 국방망과 인터넷망을 혼용한 사실도 확인했다. 기무사와 국방정보본부는 보안 측정과 보안 감사에서 이런 사실을 적발하지 못했다.

군은 이번 사건의 책임을 물어 DIDC 센터장(예비역 육군 준장)과 사이버사령관(육군 소장) 등 26명에 대한 징계를 의뢰하고 7명의 비위 사실을 각 기관에 통보했다. 또 해킹 예방을 위해 국방부 본부 내의 사이버 관련 부서를 기존 1개 과에서 1개 팀을 추가하기로 했다. 북한 사이버 공격 무력화를 위한 ‘사이버 킬체인’ 적용을 위한 개념 연구도 진행 중이라고 밝혔다.

김현길 기자 hgkim@kmib.co.kr