2일 국방부 검찰단은 지난 해 9월 발생한 국방망 해킹 사건 수사를 위해 그해 12월 구성된 ‘국방망 해킹사건 수사TF’의 수사결과를 발표했다.
국방망 해킹 사건, 北 조직으로 추정
수사결과 2016년 9월 발생한 해킹의 주도세력은 북한 해커 조직으로 추정됐다. 국방망 해킹공격에 사용된 IP 중 일부가 기존의 북한 해커들이 활용하던 중국 심양지역의 IP로 식별됐고 악성코드 분석결과 기존에 북한 해커들이 활용한 악성코드와 유사하다는 것이다. 또 2015년 1월 경과 5월 경에 북한으로 추정되는 세력이 국방부 백신 납품업체의 백신 관련 다수의 자료를 해킹한 후 이번 해킹의 수단으로 같은 백신의 취약점을 이용한 것으로 나타났다.
수사결과에 따르면 이번 해킹사건은 북한 해커조직으로 추정되는 세력이 2015년 1월경부터 백신 납품업체를 해킹해 백신 관련 기술 정보를 탈취한 것으로부터 시작됐다.
해커는 국방통합데이터센터(DIDC) 2센터에서 국방망과 군 인터넷망의 접점(接點)을 발견한 후, 국방망에 침투해 군 인터넷망 악성코드 유포와 유사한 방식으로 국방망의 서버와 PC에 악성코드를 유포했다. 악성코드에 감염된 PC 사용자 중 보안규정을 준수하지 않은 인원의 비밀을 포함한 군사자료들이 해커들의 공격으로 탈취당했다.
|
이번 해킹 사건은 백신 납품 업체 뿐 아니라 군 관계자들의 총체적인 부실이 반복돼 발생한 것으로 나타났다.
우선 백신 납품업체는 2015년 2월경 경찰청 사이버안전국으로부터 북한 해커에 의한 해킹 피해사실을 통보받았지만 국방부에 백신사업 관련 자료가 유출된 사실을 알리지 않는 등 해킹당한 사실을 고의적으로 은폐했다. 또 백신 납품업체는 자사 백신체계의 취약점을 인지했음에도 업데이트 키(key)를 변경하지 않고 국방망 해킹사건 발생시까지 계속 사용했다.
특히 국방통합데이터센터를 검수한 국군기무사령부와 국방정보본부 담당자들은 보안측정 및 감사 과정에서 망혼용을 식별하지 못했다.
해킹 사실 인지 후에도 국군사이버사령부는 조치를 취하지 않아 악성코드 확산을 초래했다. 국방망 PC에서도 동일한 유형의 악성코드가 발견됐음에도 국방통합데이터센터의 백신중계서버를 적시에 교체하지 않아 다수의 자료가 유출됐다.
이와 함께 비밀 생산 시 PC에서 네트워크를 분리해 비밀관련 작업이 이뤄져야 하고 생산된 비밀문서는 개인 PC에 저장할 수 없지만, 일부 인원이 보안규정을 준수하지 않고 비밀문서 작업 및 관리를 해 자료가 유출됐다고 수사 당국은 밝혔다.