軍, ‘국방망’ 해킹사건 다 뒤진다…기무사 본격수사 착수

입력 2016-12-13 16:35

업데이트 2016-12-13 16:35

글씨 크기 조절
글자크기 설정

닫기

글자크기 설정 시 다른 기사의 본문도 동일하게 적용 됩니다.
- 가
- 가
- 가
- 가
- 가
프린트
공유하기
공유

닫기
- 페이스북
- 네이버블로그
- 엑스
- 카카오톡
- 밴드
https://www.seoul.co.kr/news/politics/2016/12/13/20161213800283
URL 복사
댓글
14

기밀 유출경위·유출된 기밀 규모·허위보고 여부 등 수사

군 수사기관이 창군 이후 처음 터진 군 인트라넷(국방망) 해킹사건과 관련, 기밀 유출 경위를 비롯한 사건 전반을 수사해 관련자를 엄중 처벌하기로 했다.

군 수사기관 관계자는 13일 “해킹 사건이 왜 발생했고, 어떤 기밀이 유출됐고, 군 기밀 관리 준수 여부와 업무상 과실이 있는지 등 전반적인 사항을 모두 수사하고 있다”고 밝혔다.

해킹 사건이 터진 뒤 군이 적절히 대응했느냐도 수사 대상이 될 것으로 보인다.

국군기무사령부는 이날 국방부 검찰단의 지휘 아래 국군사이버사령부를 압수 수색하며 본격적인 수사의 시작을 알렸다.

국방부는 수사결과에 따라 관련 업체와 관리부대, 사용자 등을 엄중 문책할 예정이어서 대규모 징계로 이어질 것으로 예상된다.

◇ 통합데이터센터 서버 내·외부망 왜 함께 연결됐나

군 검찰은 우선 국방통합데이터센터(DIDC) 서버에 어떤 경위로 외부 인터넷망과 국방망이 함께 연결돼 있었는지를 수사하고 있다.

북한으로 추정되는 해킹 세력은 DIDC 서버를 통해 국방망으로 침투했다. “국방망은 외부망과 분리돼 있어 해킹에 안전하다”고 주장했던 군의 설명이 허언이 된 직접적인 이유다.

군 당국은 내·외부망이 함께 물려있었던 이유를 DIDC가 창설된 작년 2월 서버 설치작업을 하던 용역업체 직원이 국방망에 필요한 서버 설치를 위해 인터넷망과 연결해 사용한 뒤 선을 분리하지 않았기 때문으로 보고 있다.

그러나 선을 분리하지 않은 것이 단순 실수였는지 아니면 다른 의도가 있었는지는 아직 파악하지 못하고 있다. 군 검찰은 해당 업체를 참고인 조사해 범죄 혐의가 포착되면 민간 검찰에 이첩할 예정이다. 대공 용의점이 있을 가능성도 있다.

◇ 보안점검시 문제점 드러났는데 왜 조치 안했나

수차례 경고가 있었음에도 군이 적절히 대응하지 못한 경위도 수사 대상이다.

민주당 이철희 의원은 전날 국회 국방위에서 “기무사가 지난해 4월과 올해 5월 사이버 방호기관 평가를 실시해 DIDC의 국방망과 인터넷망이 간접 연동돼야 하지만 직접 연동돼 추가 프로그램 개발 전까지 망 연동 차단을 권고한 바 있다”고 지적했다.

이런 기무사의 지적에도 DIDC는 적절한 조치를 취하지 않은 데다, 작년 9월에는 ‘망 연동을 끊었다’는 허위보고까지 했다는 의혹이 나오고 있다.

국방망이 해킹됐더라도 보안규정대로 컴퓨터에 기밀문서를 남겨두지 않았다면 피해를 최소화할 수 있었다는 점에서 규정 위반자에 대한 수사도 이뤄지고 있다.

원래 군 보안 규정상 컴퓨터에는 어떤 비밀문서도 남겨둬선 안 되며, 비문 작업은 내·외부망을 모두 차단한 채 해야 한다. 또 작업이 끝나면 보안 인가를 받은 이동식저장장치(USB)에 담아 보관해야 한다.

그렇지만 현장에선 이런 규정이 제대로 지켜지지 않는 경우가 다반사여서 해킹 피해가 컸던 것으로 알려졌다. 무더기 징계도 배제할 수 없다.

◇ 어떤 기밀 유출됐나

군 수사당국은 어떤 기밀이 유출됐는지에 대해서도 수사한다.

이번 해킹 공격으로 감염된 컴퓨터는 모두 3천200여 대로, 이 중 2천500여 대는 인터넷용, 700대는 내부망용이라고 국방부는 설명했다.

국방부 관계자는 “군 합동조사단의 조사로 어떤 자료가 유출됐는지 파악했다”고 주장했지만, 워낙 피해가 광범위하다 보니 군 검찰은 조사에서 놓친 유출자료가 없는지 철저히 뒤질 계획이다.

군 일각에서는 해킹 당시 인트라넷에 연결돼있던 700여 대의 PC가 국방부와 각 군 등에서 사용한 것이라는 점을 들어 평시 작전계획과 같은 문서들이 유출됐을 가능성이 있다고 지적하고 있다.

한민구 국방장관은 이와 관련, 전날 국방위에서 유출 자료의 중요도에 대해 “그렇게 심각한 영향을 초래하는 자료는 아니라는 것으로 보고받았다”고 말한 바 있다.

◇ 해킹사건 발생 뒤 조치는 적절했나

군은 지난 9월 23일 신종 악성 코드가 군 인터넷 백신 서버를 통해 다량으로 유포된 정황을 식별했다. 해커가 처음으로 침투를 시도한 지난 8월 4일 이후 두 달 가까이 지난 시점으로, 보안점검을 적절히 했더라면 더 빠르게 상황을 파악해 피해를 줄일 수 있었다는 지적이 나온다.

군 당국은 9월 25일 감염된 백신 중계 서버들을 모두 망에서 분리했고 이때 한민구 국방부 장관에 대한 보고도 이뤄졌다.

특히 군은 10월 6일이 돼서야 문제의 DIDC 서버의 내·외부망을 분리하고 그로부터 엿새가 지난 12일에야 기밀자료가 유출된 것을 확인했다.

이처럼 각 단계마다 기민하게 대응하지 못했다는 지적이 나오고 있어 이 부분에 대한 수사도 있을 것으로 보인다.

연합뉴스