해킹을 통해 군 기밀이 유출된 곳은 육·해·공군의 모든 정보가 하나로 모이는 정보의 '심장'과 같은 곳인 국방통합데이터센터(DIDC)로 드러났다.
국방부 관계자는 7일 "북한으로 추정되는 해킹세력의 피해를 입은 곳은 DIDC 가운데 한 서버인 것으로 확인됐다"고 밝혔다.
DIDC는 각 군에 산재 돼 있는 모든 정보를 일원화시켜 통합관리하는 곳으로 모든 정보가 집결해 군 IT의 심장부라 불린다. 2년 전 체계적인 국방정보시스템의 관리·운영을 위해 설립이 추진됐고, 지난해 문을 열었다.
2011년 10월부터 계획에 건물 신축과 운영 인프라 구축, 77개의 군·기관에서 분산 운영되던 국방정보시스템 이전을 단계별로 진행해 온 끝에 맺은 결실이었다.
DIDC는 경기도 용인과 계룡대 2개의 센터로 나뉘어 운영되고 있다. 용인센터는 국방부·기무사령부·사이버사령부·방위사업청 등의 정보시스템을 관리한다. 계룡센터는 육·해·공군의 모든 데이터가 모이는 곳이다.
그 중 육·해·공군의 정보를 담당하는 계룡센터의 서버가 해킹의 피해를 입었다는 것이 국방부의 주장이다. 국방부 관계자는 "일부 보도에는 용인센터가 당했다고 나왔는데 전혀 사실이 아니다. 계룡센터가 해킹당했다"고 밝혔다.
국방부는 용인센터는 안전하다는 논리를 앞세워 방사청의 무기체계 등 민감한 정보는 유출피해가 없다고 주장하고 있지만 설득력이 떨어진다는 지적이다. 용인센터와 계룡센터는 개별적으로 운영·관리하되 재해·재난 등 유사시를 대비해 상호 백업체계를 구축했기 때문이다. 해커가 백업 서버를 침투해 용인센터의 자료까지 유출했을 가능성을 배제할 수 없다.
악성코드 감염 징후 포착(9월23일) 후 이틀 뒤인 9월25일에서야 물리적으로 서버 분리를 시도했다고는 하지만 그동안 무방비로 노출된 점을 감안하면 해킹할 수 있는 시간적 여유는 충분하다는 점도 불안을 가중케 한다.
로그파일 분석 결과 최초 악성코드 감염시점은 8월4일로 드러났다. 잠복기를 거쳐서 악성코드가 대량으로 퍼지기 시작한 시점이 9월23일이다. 물리적으로 해킹했을 것으로 추정되는 기간만 약 2개월이다. 그동안 육·해 ·공군의 모든 자료들이 해킹에 무방비로 노출된 셈이다.
국방부 주장대로 계룡센터만 해킹을 당했다고 해도 피해가 적다는 논리도 성립하기 어렵다. 오히려 육·해·공군이 보유한 작전계획 등이 유출됐을 경우 한·미가 모든 작전계획을 새로 작성해야하는 문제가 발생한다.
특히 한반도 급변사태 등 민감한 내용까지 유출됐다면 파장이 클 것으로 예상된다. 군 당국은 유출된 비밀이 2급 이하로 추정하고 있는데 작계 등은 대부분 2급 비밀에 해당한다.
그러나 국방부는 현재 유출정보와 피해규모를 정확히 밝히지 않고 있다. 해킹 세력에게 군의 대응 수준이 노출될 수 있다는 이유에서다. 군이 해킹 사태 피해를 축소·은폐시키려는 것이 아니냐는 비판에서 자유로울 수 없다.
군은 로그파일 분석 등을 통해 침입한 IP주소가 중국 선양(瀋陽) 지역의 것인 점으로 미뤄 북한의 소행으로 추정하고 있다. 선양은 북한 정찰총국 해커들이 주로 활동하는 지역으로 알려졌다. 군 관계자는 "북한 소행으로 추정하는 이유는 중국 선양의 IP주소가 발견됐고, 악성코드 패턴이 북한의 것과 같거나 유사하기 때문"이라고 설명했다.
오히려 계룡센터에 모이는 자료들은 일반행정 문서들이 대부분이고 비밀문서는 극히 적을 것이라는 게 군의 설명이다. 비밀유출의 경우는 인가된 USB가 아닌 하드디스크에 저장한 채 비밀문서를 작업하는 등 보안규정을 위반한 PC에서 발생됐으니 피해규모가 작다는 것이다.
하지만 이 같은 주장은 일선 부대에서는 불편함을 이유로 작계 등 비밀문서를 작성할 때 일일이 보안규정을 지키지 않는다는 점을 간과했다는 지적이 나온다.
익명을 요구한 한 관계자는 "대부분의 비밀은 간부가 아닌 일반 병사인 정보·작전계원들이 작성하는데 상급부대의 보안감사 시기를 제외하고는 공공연히 규정 위반이 일어나는 것이 현실"이라고 지적했다.
군 당국의 설명을 요약하면 북한 군으로 추정되는 해킹 세력은 8월4일 백신중계서버를 최초로 공략해 악성코드를 심었다.
군은 민간기업과 달리 백신을 별도로 업데이트하고 있다. 백신중계서버에 PC를 물려서 연결된 PC의 백신을 업데이트를 하는 방식이다. 백신중계서버만 감염시키면 이것이 숙주 역할을 해 대량의 일반 PC에 침투할 수 있다.
군에 따르면 이번에 발견된 악성코드는 좀비PC를 원격통제할 수 있도록 하기위한 용도와 또 자료를 곧바로 빼가기 위한 용도 2가지 모두의 기능을 할 수 있도록 설계됐다.
백신중계서버에 연결됐던 PC는 총 2만 여대로 알려져있다. 군은 이 가운데 3,200여대 PC가 악성코드에 감염됐다고 공식 확인했다. 인터넷용 PC 2,500여대, 인트라넷용 PC 700여대 등이다. 하지만 확인되지 않은 PC를 감안하면 피해규모는 더욱 커질 것으로 보인다.
군 전산망은 군에서만 통하는 ▲인트라넷망 ▲인터넷망 ▲전술지휘통제자동화(C4I)망 3가지로 나뉜다. 각각의 망은 분리돼 운용하므로 해킹의 가능성이 낮다는 게 군의 기본적 주장이었다.
하지만 이번의 경우 인트라넷망과 인터넷망을 한꺼 번에 쓰는 '접점'이 생겨 해킹이 발생한 것으로 확인됐다. 하나의 서버에 인트라넷용과 인터넷용 2개의 랜카드를 동시에 사용해 문제가 생겼다는 게 군의 설명이다. 군에서 '전가(傳家)의 보도(寶刀)'처럼 사용하는 망분리 논리에 허점이 드러난 것이다.
군 관계자는 "관리적 부실로 그것(두 개의 랜카드 사용)을 발견 못했다"고 말했다.
군 설명에 따르면 민간 IT기업이 참여해 계룡센터 설립 당시 백신중계 서버를 설치하는 과정에서 시스템 설치 편의상 인트라넷과 랜카드 2개를 꼽아놓고 사용한 것을 발견하지 못했다.
결과적으로 관리·감독할 책임이 있는 군이 이를 모르고 넘어간 방치한 셈이다. 이와관련 군 관계자는 "라인이 굉장히 복잡해 사용자들이 모를 수 있다"고 해명했다.
뿐만아니라 외부업체가 실수를 가장해 의도적으로 2개의 랜카드를 동시에 사용했는지 여부도 정확치 않다. 군의 추정일 따름이다. 때문에 엄청난 피해가 발생했어도 책임여부를 가릴 수 없는 아이러니한 상황이 연출되고 있다.
군 관계자는 이와관련 "합동조사팀의 결과를 갖고 한민구 장관 보고 후에 규정 위반자들의 처리 등 필요한 조치를 취할 예정"이라고 말했다. 조사결과 책임소재를 밝히기 어렵다는 이유로 유야무야 마무리 될 수 있다는 뜻이기도 하다.
(뉴시스)