軍 첫 내부망 해킹 인정…"北소행 추정·군사자료 유출된듯"

백신중계서버 통해 악성코드 유포

사드배치 관련 정보유출 가능성도

아주경제 강정숙 기자 =국방부가 6일 군당국이 운영하는 내부 전용 사이버망이 외부의 해킹에 뚫렸다고 밝혔다. 창군이래 처음으로 내부망 해킹을 인정한 것이다. 군 내부망은 외부망과 분리돼 있어 해킹 가능성이 낮다고 주장해온 것과 전면 배치된다.
 

[사진= 국방부]

문상균 국방부 대변인은 이날 오전 서울 용산구 국방부청사에서 열린 정례브리핑에서 "군 인터넷 백신체계 해킹 사고조사를 진행 중에 국방망 일부 PC에도 동종의 악성코드가 감염된 것이 식별됐다"고 밝혔다.

문 대변인은 이어 "국방부는 국방사이버합동조사팀을 구성해서 관련 내용을 조사한 결과 군사비밀을 포함한 일부 군사자료가 유출된 것을 확인했고, 이는 북한의 소행으로 추정된다"고 덧붙였다.

문 대변인은 다만 유출자료의 종류와 해킹 피해 규모에 대해서는 언급하지 않았다. 군 내부망에 대한 해킹 흔적이 감지된 것은 지난 9월 23일이었다. 

육·해·공군의 외부 인터넷망 PC 2만 여대에 보안을 관리하는 백신중계서버를 통해 악성코드가 유포 돼 다수의 PC에서 악성코드가 발견됐다.

이에 사이버사령부는 이틀 뒤인 9월 25일 더이상의 피해를 막기 위해 백신중계서버를 강제로 네트워크에서 분리시켰다. 다수의 PC가 '좀비PC'로 감염되는 것을 막기 위한 조치였다.

이후 국방부는 국가정보원·합동참모본부·국군사이버사령부·기무사령부·국방조사본부 등 6~7개 기관에서 30여명의 인력을 파견받아 합동조사팀을 꾸렸다. 약 2개월 동안 조사해왔다.

앞서 김진표 더불어민주당 의원은 지난 10월5일 열린 국방부·국군사이버사령부 등을 대상으로한 국정감사 자리에서 당시 변재선 사이버사령관에게 군 내부망이 뚫렸을 가능성을 제기했지만 변 사령관은 "(감염된 외부망과) 내부망은 분리 돼 있어서 (해킹) 가능성은 매우 낮다"고 반박했다.

하지만 국방부는 두 달 뒤인 이날 해킹으로 뚫렸다는 점을 스스로 인정했다. 다만 어떤 군사비밀이 유출됐는지는 아직까지 제대로 파악조차 하지 못한 것으로 알려졌다.

일부에서는 작전계획 등 군사 2급 비밀의 외부유출 가능성을 배제할 수 없다는 지적이 제기된다. 9월 당시는 주한미군 사드(THAAD·고고도미사일방어체계) 배치 부지 선정 논의가 있던 터라 이와 관련된 정보가 새나갔을 가능성도 있는 것으로 보인다.

이와 관련 군 관계자는 "어떤 군사자료들이 빠져나갔는지는 파악중이며 사드 관련 정보가 유출됐다고 단정 지을 수는 없다"고 말했다.

또 다른 군 관계자는 군 내부망 해킹사건과 관련해 "예하부대의 한 서버에 접점이 있었다"며 "이 부대의 서버에 인터넷망과 국방망 랜카드를 두 개가 꽂혀 있었다"고 말했다.

이 부대는 2년 전에 창설됐으며, 누가 언제 어떤 목적으로 두 개의 랜카드를 서버에 함께 연결했는지는 아직 파악되지 않았다.

군 당국은 부대 창설 당시 서버작업을 맡았던 민간업자가 의도적으로 두 망을 연결했을 가능성도 배제하지 않고 있다. 대공 용의점이 있을 가능성도 제기된다.

이 관계자는 "조사한 바로는 8월4일부터 악성코드가 로그 기록에 남아있다"면서 최초침투가 8월 4일이라고 말했다. 이후 9월 23일에 악성 코드가 대량유포된 것을 발견했으며 일주일 뒤 합동조사팀에 꾸려졌다"고 말했다.

이 관계자는 유출된 군사기밀의 규모에 대해서도 "현재 우리는 사이버전은 진행 중이며 군의 대응능력을 노출할 수 있다"면서 공개하지 않았다.

다만 "군사비밀정보보호협정(GSOMIA)을 통해 외국에서 받은 비밀은 이번에 유출되지 않았다"고 설명했다.

그는 "군의 정보체계는 업무용 인터넷망과 국방망, 작전에 사용되는 전작망 등 3곳인데 이번엔 전작망은 해킹되지 않았다"고 말했다.