(사진=스마트이미지 제공)
군 내부 전용 사이버망을 해킹한 IP주소가 북한 해커들이 많이 활동하는 중국 선양에 소재하고, 해킹에 활용된 악성코드도 북한이 그동안 사용했던 것과 유사한 것으로 확인돼 이번 사건이 북한의 소행일 가능성에 무게가 실리고 있다.
6일 군의 한 관계자는 6일 "군 내부망을 해킹한 해커들은 중국 선양에 있는 IP주소로 접속한 것으로 파악됐다"면서 "해킹에 쓰인 악성 코드도 북한이 그동안 여러 해킹에 사용했던 것과 비슷하거나 동일하다"고 말했다.
군 당국은 그동안 '내부 국방망은 인터넷과 분리돼 있어 안전하다'고 밝혀왔지만 한 부대의 백신 중계서버에 인터넷망과 내부망이 함께 연결되면서 내부망까지 악성코드에 감염된 것으로 합동조사단의 조사 결과 드러났다.
2년 전에 창설된 이 부대에 누가 언제 어떤 목적으로 두 개의 랜카드를 서버에 함께 연결했는지는 아직 파악되지 않았다.
이 관계자는 "악성코드가 내부망에 최초로 침투한 시점이 8월 4일이다. 이후 9월 23일에 악성 코드가 백신 중계서버를 통해 대량유포된 것을 발견했고 이틀 뒤 인터넷망과 내부망이 연결된 서버를 파악해 분리해 추가 확산을 막았다"고 설명했다.
그는 "인터넷 PC를 좀비화하고 백신체계 정보를 수집한 뒤에 백신체계를 해킹해서 다량의 악성코드를 유포했다"면서 "규정위반과 관리적 부주의로 연결된 망을 활용해 자료가 유출된 것으로 조사됐다"고 말했다.
규정상 비밀작업은 망에서 분리하고 작업이 끝난 뒤 이를 이동식저장장치(USB)에 담아서 보관해야 하지만, 일부 컴퓨터에 비밀자료가 남아있어 이 자료들이 유출됐다는 것.
그는 감염된 전체 단말기의 규모와 유출된 군사기밀의 규모에 대해서는 밝히지 않았다.
국방부는 사이버안보태세 강화 TF를 구성해 내·외부망의 연결 접점 관리 개선방안, 백신체계 보강 및 교체방안 등의 대책을 수립 중이라고 밝혔다.
군 내부 전용 사이버망이 해킹으로 뚫린 것은 창군 이래 처음으로, 유출된 비밀의 중요도에 따라 적잖은 파장이 예상된다.