군 내부 전용망 46일 넘게 악성코드에 무방비 노출

악성코드 8월4일 내부 전용망 로그인…군 당국 한달반 ‘깜깜이’
9월23일 파악 불구 “인터넷-내부망 분리돼 내부망은 안전” 판단
사이버사 예하 부대서 인터넷-내부망 연결된 사실 뒤늦게 발견
국방부 유출된 군사기밀 건수 등 구체 내용은 “보안” 공개 거부

지난 8~9월 창군 이래 처음으로 군 내부 전용 전산망(인트라넷·국방망)이 적어도 46일 넘게 악성 코드에 노출돼 군사기밀이 다수 유출됐다. 군 당국이 기밀정보가 보관된 국방망을 인터넷과 단절해 따로 운영해야 하는 원칙을 지키지 않아 외부의 해킹에 취약점을 노출했기 때문인 것으로 조사됐다.

익명을 요구한 군 관계자는 5일 기자들과 만나 “9월23일 군이 사용하는 인터넷 서버에 악성코드가 백신 프로그램을 통해 유포된 정황이 식별돼 같은 달 30일부터 합동조사팀을 꾸려 조사해보니 일부 비밀자료를 포함한 군사자료가 유출된 것이 확인됐다”고 말했다.

사건 당시 군 당국은 인터넷에 연결된 서버와 피시(PC) 이외에 국방망의 서버와 피시 등은 감염되지 않은 것으로 파악했다. 변재선 국군사이버사령관은 당시 국정감사에서 김진표 더불어민주당 의원의 관련 질의에 “군 내부 전용 전산망(국방망)은 인터넷과 분리돼 있어 해킹이나 정보유출 가능성이 낮다”고 답변한 바 있다. 그러나 이번 조사 결과 국방망도 해킹돼 이곳에 보관하던 기밀자료들이 다수 유출된 것으로 확인된 것이다.

이번에 국방망이 해킹된 것은 내부 전용 전산망과 인터넷망의 분리가 제대로 안 지켜졌기 때문으로 확인됐다. 군 당국의 설명을 종합하면, 군의 전산망은 인터넷망과 국방망, 전장망 등 세가지 시스템으로 구분돼 있다. 이들 세 시스템은 물리적으로 분리돼 있어, 외부 세력이 인터넷을 통해 해킹을 시도하더라도 국방망과 전장망엔 들어올 수 없도록 돼 있다. 그러나 이번 조사 결과 한 군 기관이 운영하는 서버에서 인터넷과 국방망이 연결돼 있던 사실이 이번에 발견됐다. 군 관계자는 “사이버사 예하 부대에서 운영하는 서버에 인터넷 네트워크 카드와 국방망 네트워크 카드가 함께 꽂힌 채 사용된 게 발견됐다”며 “이번에 악성코드가 이 연결 지점을 통해 인터넷망에서 국방망으로 넘어와 자료를 빼내간 것”이라고 말했다.

그러나 군 당국은 언제부터 어떤 경위로 이 예하부대에서 규정을 위반한 채 인터넷망과 국방망을 연결해 운영하고 있었는지 등에 대해선 아직도 파악하지 못하고 있다. 군 관계자는 “이 부대 전산망이 2년 전 설치될 때 연결된 것인지, 이후 연결된 것인지 등 경위에 대해 확인하지 못했다”고 말했다.

또 군 당국은 이번에 국방망이 해킹당한 것을 한 달 반이 넘게 까마득히 몰랐던 사실도 드러났다. 군 관계자는 “악성 코드가 이 군 기관의 서버에 로그인한 게 8월4일인 것으로 확인했다”고 말했다. 군 당국이 인터넷 서버가 악성 코드에 감염된 정황을 파악한 게 9월23일이니까, 적어도 46일간 악성 코드에 무방비 상태로 노출됐던 셈이다. 게다가 군 당국이 국방망 감염을 확인한 것은 9월30일 합동조사단이 꾸려져 본격 조사를 벌인 이후이니, 이 시점부터 따지면 53일 넘게 국방망 감염 사실을 몰랐던 셈이 된다.

군 당국은 국방망에 보관돼 있던 기밀 중 어떤 기밀문서가 유출됐는지, 감염된 서버가 얼마나 되는지 등 구체 사안에 대해선 “보안 사안”이라며 입을 다물었다. 다만 군 관계자는 “군사비밀정보보호협정(GSOMIA)에 따라 보호해야 할 외국의 비밀이 이번 일로 유출된 사례는 없다”고 말했다.

군 당국은 이번 해킹을 북한의 소행으로 추정했다. 군 관계자는 “해킹에 이용된 서버의 아이피(IP) 주소가 중국 선양이며 악성코드의 수법이 과거 북한이 흔히 쓰던 수법과 유사한 것으로 확인됐다”고 말했다.

박병수 선임기자 suh@hani.co.kr