지난 8월 초 군 내부 전용 사이버망을 해킹한 IP주소가 북한 해커들이 많이 활동하고 있는 중국 선양에 소재하고 있는 것으로 나타났다. 또 해킹에 활용된 악성코드는 북한이 그동안 사용했던 것과 유사한 것으로 확인됐다.
군 당국은 이를 근거로 이번 군 내부망 해킹사건을 북한 소행으로 추정하고 있는 것으로 알려졌다.
군 관계자는 6일 "군 내부망을 해킹한 해커들은 중국 선양에 있는 IP주소로 접속한 것으로 파악됐다"며 "해킹에 쓰인 악성 코드도 북한이 그동안 여러 해킹에 사용했던 것과 비슷하거나 동일하다"고 전했다.
앞서 북한은 지난 2014년 한국수력원자력 원전 도면 해킹사건 등에서 선양에 있는 IP주소를 집중적으로 활용한 바 있다. 군 당국은 그동안 '내부 국방망은 인터넷과 분리돼 있어 안전하다'고 밝혀왔다.
하지만 한 부대의 백신 중계서버에 인터넷망과 내부망이 함께 연결되면서 내부망까지 악성코드에 감염된 것으로 합동조사단의 조사결과 드러났다.
이에 대해 군 관계자는 "예하부대의 한 서버에 접점이 있었다"며 "이 부대의 서버에 인터넷망과 국방망 랜카드가 모두 꽂혀 있었다"고 설명했다.
이 부대는 2년 전에 창설됐으며, 누가 언제 어떤 목적으로 두 개의 랜카드를 서버에 함께 연결했는 지는 아직 파악되지 않고 있다.
상황이 이렇다 보니 군 당국은 부대 창설 당시 서버작업을 맡았던 민간업자가 의도적으로 두 망을 연결했을 가능성도 배제하지 않고 있다.
군 관계자는 "8월 4일부터 악성코드가 로그 기록에 남아있다"며 “내부망에 최초로 침투한 시점은 8월 4일 이다”고 말했다.
이후 9월 23일에 악성 코드가 백신 중계서버를 통해 대량유포된 것을 발견했다. 이틀 뒤 인터넷망과 내부망이 연결된 서버를 파악해 분리해 추가 확산을 막았다.
그는 이어 "미상의 방법으로 인터넷 PC를 좀비화하고 백신체계 정보를 수집한 뒤에 백신체계를 해킹해서 다량의 악성코드를 유포했다"면서 "규정위반과 관리적 부주의로 연결된 망을 활용해 자료가 유출된 것으로 조사됐다"고 말했다.
한편 국방부는 이번 사건과 관련, 사이버안보태세 강화 TF를 구성해 내·외부망의 연결 접점 관리 개선방안, 백신체계 보강 및 교체방안 등의 대책을 수립 중인 것으로 전해졌다.