"인터넷·인트라넷 연결 PC서 발생"…IP주소, 北해커 활동 中선양
[뉴스핌=이영태 기자] 국방부가 6일 군 당국이 운영하는 내부 전용 사이버망(국방망)이 북한 해커로 추정되는 외부세력의 해킹 시도에 뚫렸다고 시인했다. 군 내부 인트라넷인 국방망이 뚫린 것은 창군 이래 처음이다.
문상균 국방부 대변인은 이날 정례브리핑에서 "군 인터넷 백신체계 해킹 사고조사를 진행 중에 국방망 일부 PC에도 동종의 악성코드가 감염된 것이 식별됐다"고 밝혔다.
문 대변인은 "국방부는 국방사이버합동조사팀을 구성해서 관련 내용을 조사한 결과 군사비밀을 포함한 일부 군사자료가 유출된 것을 확인했고, 이는 북한의 소행으로 추정된다"고 설명했다.
 |
| 황인무 국방부 차관이 지난 3월11일 서울 국방부에서 열린 사이버안보 대책회의에서 모두발언을 하고 있다.<사진=뉴시스> |
군 관계자는 이날 군 당국의 국방망 해킹 조사결과에 대해 "군 정보체계는 업무용 인터넷 영역과 내부망인 인트라넷망(국방망), 작전에 사용되는 전장망 3개로 구분되며, 이번에는 국방망에서 발생했다. 전장망은 완전 분리돼 있다"고 설명했다.
이 관계자는 "이번 상황은 규정위반과 관리적 부주의로 연결망이 연결돼서 발생한 것"이라며 "사용자가 기밀작업할 때 PC에 저장 못하게 돼있다. 그리고 랜(인터넷망과 인트라넷망)을 분리해야 하는데, 이런 규정이 지켜지지 않았다"고 해명했다.
아울러 "국방부는 9월 23일경 악성코드가 인터넷 백신서버를 통해 유포된 것 확인하고 25일 네트워크를 분리해 악성코드 확산을 차단했다. 30일 사이버합동조사팀을 구성해 관련내용을 조사한 결과 일부 비밀자료를 포함한 군사자료가 유출된 것을 확인했으며 북한 소행으로 추정하고 있다"고 언급했다.
그러면서 "인터넷 PC를 좀비화하고 백신체계 정보를 수집한 뒤 백신체계를 해킹해서 악성코드 확산시켰다"며 "사이버전이 진행중이라 진행중인 전투내용은 충분히 설명 못드림을 이해해달라. 작전 수행을 위해 제한적으로 설명해드리는 걸 양해해 달라"고 당부했다.
해킹된 망과 PC를 통해 유출된 정보가 무엇인지, 양은 어느 정도인지 묻는 질문에는 "(유출된 정보에 대한) 확인이 가능하니까 말씀드리는 거"라며 "(유출된 양은) 제한된다"고 답했다.
향후 대책과 관련해선 "재발방지 후속대책을 직·간접적 원인을 포함해서 14개 과제를 식별했다. 사이버 안보 TF(태스크포스) 구성해서 최대한 빠른 시일 내에 하겠다. 예를 들어 이번에 인터넷과 인트라넷 접점 상황을 발견해야 하는데, 망 혼용구간 탐색 솔루션 개발이 시급하다. 인터넷과 국방망 등 이런 것을 발견하는 솔루션 개발이 시급하다. 국방부와 정부부처 모두 필요하다"고 말했다.
◆ 연합 "해킹 IP주소, 북한 해커 활동 중국 선양 소재"
한편 연합뉴스는 이날 군 내부 전용 사이버망을 해킹한 IP주소가 북한 해커들이 많이 활동하는 중국 선양에 소재하고, 해킹에 활용된 악성코드도 북한이 그동안 사용했던 것과 유사한 것으로 알려졌다며, 군 당국은 이를 근거로 이번 군 내부망 해킹사건을 북한 소행으로 추정하고 있는 것으로 전해졌다고 보도했다.
군 관계자는 "군 내부망을 해킹한 해커들은 중국 선양에 있는 IP주소로 접속한 것으로 파악됐다"면서 "해킹에 쓰인 악성 코드도 북한이 그동안 여러 해킹에 사용했던 것과 비슷하다"고 말했다.
북한은 지난 2014년 한국수력원자력 원전 도면 해킹사건 등에서 선양에 있는 IP주소를 집중적으로 활용한 바 있다.
[뉴스핌 Newspim] 이영태 기자 (medialyt@newspim.com)
