무너진 사이버국방 ‘총체적 부실’…제2의 3·20 사이버테러 부른다
[디지털데일리 최민지기자] 사이버국방선이 무너졌다. 창군 이래 처음으로 군 내부망까지 해킹됐으며, 군사정보까지 유출됐다. 북한으로 추정되는 이번 사이버공격에 대해 무기력하게 당한 군에 대한 비판과 보안부실 및 은폐 논란 등이 도마 위에 오르고 있다.
이와 관련 한민구 국방부장관은 지난 12일 국회에서 열린 국방위원회에서 이번 사건에 대해 “사이버 경계 실패가 맞다”고 인정하기 이르렀다. 지난 13일에는 군 수사기관인 국군기무사령부(이하 기무사)는 국군사이버사령부를 압수수색했으며, 책임을 엄중하게 물을 방침이다.
하지만, 보안업계는 책임소재를 분명히 하는 것도 중요하지만 향후 대책부터 마련해야 한다고 입을 모으고 있다. 재발 방지안을 지금 당장 제대로 세우고 조치하지 않으면 ‘제2의 3·20 사이버테러’가 등장할 수 있다는 우려다.
◆“잘잘못만 따지다 또 당한다”=보안업계 관계자는 “망 분리도 제대로 되지 않았고 방화벽도 뚫렸으며 백신으로도 막지 못했고 문서유출 방지 및 암호화도 동작하지 않은 등 단계적으로 해야 할 보안이 모두 무력화됐다”며 “한 마디로 총체적 부실이며, 단계별로 검토해 제대로 구축해야만 제2의 공격에 대응할 수 있을 것”이라고 조언했다.
이어 “군 입장에서만 접근하는 것보다 외부 민간전문가와 논의해 구축을 해야 할 것”이라며 “잘못을 가리는 것도 중요하지만 빠른 복구가 필요하다”고 덧붙였다.
이 관계자는 이번 사건을 제2의 3·20 사이버테러 전에 나타날 수 있는 징조로 해석했다. 2013년 국내 주요 은행과 방송사 전산망을 마비시킨 3·20 사이버테러의 경우, 한 국내보안업체의 프로그램을 통한 악성코드 유포가 발단이 됐다. 또, 이 때 국방 관련 북한 공격이 꽤 많이 발생했다.
이 관계자는 “지난해 11월 북한 해킹 조직이 이니텍 코드서명 인증서를 탈취해 악성코드를 유포했고 이번에는 군 내부망이 해킹당한 것을 살펴보면 3·20 때와 유사한 점이 많다”며 “내년 상반기 내 3·20 사이버테러를 연상시키는 대규모 공격이 발생할 수 있기 때문에 이전에 대응책을 강구해야 한다”고 강조했다.
또 “내년에는 대선이 예정돼 있는데, 러시아가 미국 대선 때 해킹으로 관여했듯 북한이 그 전략을 보고 따라할 수 있다”며 “여러 분야에서 공격을 당할 수 있고 국방분야가 해킹을 다시 당할 수도 있기 때문에 이번에 제기된 문제들을 빨리 해결해야 한다”고 말을 보탰다.
◆도마 위에 오른 국방부, 허술한 보안의식 논란=이번 해킹은 북한으로 추정되는 세력이 지난 8월부터 국방통합데이터센터(DIDC) 서버를 통해 국방망에 침투, 각종 군사기밀과 자료를 유출한 사건이다. 해킹에 감염된 컴퓨터는 총 3200여대로 인터넷용 PC 2500여대, 내부망용 PC 700여대다. 이 중 국방부 장관 PC 등도 감염된 것으로 알려졌다.
이에 기무사는 압수수색을 실시했으며 종합감사를 통해 한 달 정도 수사에 착수할 예정이다. 이후 담당 군 관련자 및 각 보안솔루션 업체들을 모아 잘못을 따지는 자리가 마련될 것으로 보인다.
DIDC는 경기도 용인과 계룡대 2개 센터에서 운영되고 있다. 계룡대는 육·해·공군의 정보시스템을 관장하고, 용인에서는 국방부를 비롯해 기무사·사이버사령부·방위사업청 등의 정보시스템을 관리한다.
그런데, 계룡대 센터는 군 외부 인터넷망과 내부망을 연결된 상태로 방치했다. DIDC 서버 내 내·외부망이 연결돼 있었기 때문에 해커는 외부 인터넷망에 접속해 서버를 거쳐 내부망까지 진입할 수 있었다. 또, 계룡대는 용인센터 등과 상호 백업체계를 구축하고 있기 때문에 해커는 군 내부망 곳곳에 침입할 수 있었을 것으로 보인다.
이번 해킹이 발생하기 전 기무사는 지난해 4월 DIDC의 국방망과 인터넷망 간 망연동 방식이 부적절하다고 지적했다. 간접적으로 연동돼야 하는데 직접 연동방식을 적용하고 있다는 것이다. 간접연동을 위한 추가 프로그램 개발 전까지 연동을 차단하라고까지 권고했다. 이후 올해 5월 또다시 기무사는 망연동 차단을 지시했다.
하지만, 이 과정에서 국방부는 지난해 9월 연동을 차단했다는 허위보고를 한 것으로 드러났다. 또, 지난 8월 해킹사건이 발생했지만 국방부는 두 달이 지난 후에야 사실을 파악해 늑장대응에 나섰다.
이와 관련 한민구 국방부장관은 지난 12일 국회에서 열린 국방위원회에서 “2014년 2월 DIDC 설립 때 업무 편의성을 위해 인터넷망과 국방망을 연결했으나 이후 깜박 잊고 단절시키지 않아 연결점이 생긴 것으로 추정된다”고 말해 빈축을 샀다.
앞서, 지난 5월에는 북한 소행으로 추정되는 공군홈페이지 해킹사건이 발생했었다. 당시 북한 측에서 개발한 제로데이 공격이 이뤄졌는데, 이 공격이 군 내부망 취약점을 찾기 위한 것이 아니었냐는 의견도 제기된다.
보안업계 관계자는 “공군 홈페이지 해킹 사건이 발생한 지 몇 달만에 사이버사령부 내부망 해킹이 발생했다”며 “내부망 취약점에 대한 정보를 얻기 위한 공격일 가능성도 있다”고 말했다.
<최민지 기자>cmj@ddaily.co.kr
임종훈 대표, 한미사이언스 주식 105만주 매각… 상속세 납부 목적, 이면에 불가피한 속사정?
2024-11-15 18:04:20최윤범 고려아연 회장 “이사회 의장직 내려놓겠다”… 삼성∙보잉 사례 참고했나
2024-11-15 17:19:23[DD퇴근길] 네이버 밴드, 美 MAU 600만 돌파…IT서비스업계, 연말인사 포인트는
2024-11-15 16:53:04비트코인이 불지른 가상화폐 ‘불장’… 금융당국, '이상거래' 모니터링 강화
2024-11-15 16:20:20