군 내부 전용 사이버망이 북한으로 추정되는 해킹세력에 뚫린 것으로 확인돼 충격을 주고 있다.
군에 따르면 해킹 세력은 군 정보가 집결하는 국방통합데이터센터(DIDC) 서버를 통해 군 내부 사이버망에 침투한 것으로 확인됐다.

해킹

국방부 관계자는 7일 “북한이 군 내부망에 접근할 수 있었던 것은 DIDC의 한 서버에 인터넷망과 내부망이 함께 연결돼 있었기 때문으로 파악됐다”고 밝혔다.
군의 내부 사이버망은 외부와 연결되는 인터넷망과는 분리돼 있다. 그러나 이번에는 한 부대의 서버에 내·외부망이 함께 연결돼 있어 해커가 뚫을 수 있었다는 것이다. 군은 “두 망이 함께 연결된 경위를 집중 조사하고 있다”고 밝혔다.
해킹 공격은 지난 8월 4일 시작됐다. 당시 외부망에 접속된 한 컴퓨터가 악성 코드에 감염된 것이다. 해킹세력은 이 컴퓨터를 좀비 PC로 만든 뒤 여기에 깔린 백신 프로그램을 분석해 군 백신 체계의 허점을 파악했다.
이 허점을 이용해 해킹 세력은 백신 중계 서버를 집중적 공략했다. 백신 중계 서버는 각 단말기의 백신 프로그램을 강제로 업데이트하기 때문에 일단 감염시키면 업데이트 과정에서 악성 코드를 대량 유포할 수 있기 때문이다.
이렇게 해서 감염된 컴퓨터는 모두 3천200여 대로, 이 중 2천500여 대는 인터넷용, 700대는 내부망용이었다는 게 국방부의 설명이다. 한민구 국방부 장관의 인터넷용 컴퓨터도 악성 코드에 감염된 것으로 알려졌다.
다만, 군사작전에 필요한 기밀들을 주고받는 전장망, 즉 전술지휘통제자동화체계·C4I는 여기에 연결돼 있지 않아 이번 해킹에서 피해가 없었다고 설명했다.

군의 대응

국방부 관계자는 이와 관련, "해커들이 DIDC 서버를 통해 군 내부망에 침투한 것은 사실이지만, DIDC에 저장된 정보가 털린 것은 아니다"라고 말했다. 군 당국은 또한 “피해 상황을 모두 파악하고는 있다”고 밝혔으나 북한에 대응 능력에 대한 정보를 줄 수 있다는 이유로 공개하지는 않았다.
해커의 침투를 막기 위해 보안 프로그램을 업데이트 하되, 자동 업데이트를 금지하고 모두 수동으로 업데이트하도록 하고 있다.

의미와 문제점

이번 사태로 군의 보안의식에 심각한 의문이 제기됐다.
군은 분리돼 있어야 할 내·외부망이 함께 연결돼 있었는데도 파악하지 못하고 있었다.
더욱 큰 문제는 컴퓨터에는 남아있어서는 안 되는 기밀이 일부 그대로 남아있었다는 점이다. 군 보안 규정상 비문 작업은 내·외부망을 모두 차단한 채 해야 하며, 작업이 끝나면 이동식저장장치(USB)에 보관해야 한다. 그러므로 해킹 당해도 해커가 빼내갈 기밀이 없어야 정상이다.
북한의 사이버전 능력이 급신장하는 데 비해 군의 대응이 미흡하다는 지적도 나온다. 군에 따르면 북한의 사이버전 인력은 해커 1천700여명, 지원조직 5천100여명 등 모두 6천800여명에 이르는 것으로 파악되고 있다. 이들 가운데 상당수는 중국 선양 등 해외 거점에서 활동하고 있는 것으로 알려지고 있다.
보안의식과 사이버전 능력이 동시에 강화돼야 한다는 것이다.