北해커 사전작업 치밀… 軍에 컴퓨터 백신 납품하는 업체부터 해킹

북한 추정 해커 세력은 우리 군 사이버망에 침투하기 위해 오랜 시간 작업을 했다. 우선 2015년 1월 군에 컴퓨터 백신을 납품하는 업체를 해킹했다. 이를 통해 인증서와 백신 소스 코드 등을 파악한 해커들은 작년 8월 군 인터넷망(외부망)에 처음 침투했다. 다음 달인 9월에는 국군사이버사령부가 관리하는 백신 중계 서버를 통해 악성 코드를 유포했다. 백신 중계 서버는 군 컴퓨터 전체와 연결돼서 보안 관리를 하기 때문에 일단 감염이 되면 악성 코드를 일제히 유포하는 숙주가 돼버린다.

이 상황만 갖고는 작전 계획 등 기밀 자료가 오가는 내부망(국방망)까지 뚫리진 않는다. 원칙적으로 군의 내·외부망은 분리해서 운영하기 때문이다. 하지만 북한 추정 해커는 우리 군 정보망의 '중추신경' 격인 국방통합데이터센터(DIDC) 서버에서 우연히 내·외부망의 연결 지점을 발견해 국방망에 침투했다. 2015년 DIDC 서버 구축 당시 시공사가 업무 편의를 위해 계약 내용을 어기고 외부망과 내부망 서버를 연결(망 혼용)해 놓았던 것이다. 이렇게 국방망에 침투한 해커 세력은 DIDC 서버에 연결된 각군 서버와 PC를 휘젓고 다녔다.

하지만 보안 규정 이 제대로 지켜졌다면 군사기밀이 대량 유출되는 사고는 막을 수 있었다. 군 보안 규정에 따르면 비밀 자료를 생산할 때는 PC를 연결망에서 분리해야 하고 작성이 끝난 자료는 PC에 남겨둬선 안 되기 때문이다. 하지만 일부 장교가 규정을 어기는 바람에 각종 비밀 자료들이 국방망에 연결된 PC들에 남아 있었고, 국방망에 침투한 해커들은 이를 손쉽게 쓸어갔다.