북한 등의 사이버 공격에 맞서 우리 군의 사이버 작전을 총괄하는 국군 사이버사령부가 지난달 중순 해킹된 것으로 30일 확인됐다. 사이버 전장(戰場)에서 '창'과 '방패'의 역할을 동시에 수행하고 있는 국군 사이버사령부가 해킹된 것은 2010년 1월 부대 창설 이후 처음이다. 사이버사령부는 북한의 해킹 공격 가능성을 열어두고 공격 주체 확인에 나섰다.
국회 국방위원회 소속 더불어민주당 김진표 의원실이 이날 국군 사이버사령부로부터 제출받은 자료에 따르면, 국방부를 포함 육·해·공군 일선 부대마다 인터넷 접속용으로 사용하고 있는 2만여 대 공용 PC의 보안을 관리하는 사이버사령부의 '백신 중계 서버'가 해킹당했다. 군(軍) 관계자는 본지의 확인에 대해서도 이 같은 해킹 사실을 확인하면서 "기밀 유출 등 구체적인 피해 상황은 조사 중이라 밝힐 수 없다"고 말했다.
보안상 군부대 PC는 인트라넷용 국방망(網)과 외부 인터넷 접속을 할 수 있는 인터넷망을 별도로 구분해 사용하고 있다. 또 보안상 이유로 개인이 소프트웨어를 내려받아 설치할 수 없다. 이 때문에 국군사이버사령부가 백신 중계 서버를 통해 전군(全軍)의 인터넷망 PC에 보안 프로그램을 공급하고 있는데 이 서버가 해킹을 당한 것이다. 군 작전이나 부대 상황 등과 관련된 핵심 기밀은 국방망을 통해 다뤄지는데, 이번에 확인된 것은 이 국방망 인트라넷은 아니고 외부 인터넷과 연결된 네트워크다.
일반적으로 백신 프로그램은 PC마다 별개로 설치된다. 그러나 이를 개인적으로 관리할 경우에는 업데이트 등이 소홀할 수 있으며, 오염됐을 때의 탐지나 처치도 비전문가들은 제대로 못 할 수 있다. 이 때문에 고도의 보안이 요구되는 조직에선 백신 서버 컴퓨터를 중앙에 따로 두고 이를 각 컴퓨터에 연결해 통합적으로 관리하는 경우가 있는 것이다.
하지만 이번 경우에는 거꾸로 외부 악성코드가 '백신 중계 서버'라는 중추 신경을 통로로 유입됐기 때문에 거기에 연결된 PC들 전부가 감염 위험에 노출된 것이다. 이런 악성코드에 감염되면 컴퓨터나 이메일 계정 등에 저장된 기밀 정보가 유출될 수 있다.
특히 전군의 2만여대 PC와 각각 연결돼 있는 백신 중계 서버에서 악성 코드가 발견됐다는 것은 외부 공격 세력이 이 서버를 매개로 2만여대 PC에 침투했을 수도 있다는 의미다. 이와 관련, 사이버사령부는 "최근 백신 중계 서버의 취약점을 악용한 것으로 판단되는 신종 악성 코드가 유포된 정황을 식별했고, (육·해·공군) 다수의 PC에서 탐지됐다"며 "추가적인 위협을 예방하기 위해 지난 25일 자정을 기해 백신 중계 서버의 네트워크를 분리했다"고 밝혔다. 김진표 의원은 "(네트워크 분리란) 서버 코드를 물리적으로 뽑았다는 의미"라며 "백신 중계 서버가 사실상 다운된 셈인데, 이런 일도 사이버사령부 창설 이래 처음"이라고 했다. 유포된 악성 코드의 종류에 따라 해당 PC들이 외부에서 원격 조종당하는 '좀비 PC' 역할을 하면서 컴퓨터나 이메일 계정 등에 저장된 기밀 정보가 유출될 수 있다. 사이버사령부는 이번 해킹 공격이 북한 소행일 가능성에 무게를 두고 조사 중인 것으로 알려졌다. 정보 당국 관계자는 "북한이 오는 10월 10일 노동당 창건일을 맞아 추가 핵실험이나 대륙간탄도미사일(ICBM) 시험 발사 외에 대규모 사이버 도발에 나설 수도 있다"며 "이번 해킹이 '10·10 공격'을 염두에 둔 예비 공격일 가능성이 있다"고 했다.