preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

국방부, 전장망 군사비밀 북한에…미군 700명 투입해 막을 때 한국군은 뭐했나

기자
손영동 사진 손영동
육군 해킹방어대회가 지난 5월 육군본부 주관으로 열렸다. 군은 이런 대회를 열면서 해킹방어 능력을 키우려고 하지만 아직도 많이 부족한 것으로 나타났다. [프리랜서 김성태]

육군 해킹방어대회가 지난 5월 육군본부 주관으로 열렸다. 군은 이런 대회를 열면서 해킹방어 능력을 키우려고 하지만 아직도 많이 부족한 것으로 나타났다. [프리랜서 김성태]


지난해 9월 북한에 국방망이 해킹을 당해 엄청난 군사기밀이 빠져나간데 이어, 합동지휘통제체계(KJCCS)를 포함한 군 최고등급인 전장망과 연결되는 각종 장비의 사전점검에서도 악성코드가 탐지됐다. 국방망 해킹 사고 이후에도 실무자의 부주의와 군 공급망에 대한 보안조치는 여전히 미흡했던 것으로 드러났다.
 
전장망은 평시 군사연습ㆍ훈련을 하면서 정보를 주고받고, 전시엔 군사작전과 지휘사항이 오가는 폐쇄형 네트워크다. 전장망이 마비되면 국가안보에 치명타이기 때문에 군은 전장망을 외부 인터넷과 인트라넷(국방망)과는 별개로 구축해 운영한다.
 
진영 더불어민주당 의원이 군 당국으로부터 제출받은 자료에 따르면 올 들어 지난 8월 말까지 전장망을 대상으로 모두 7종 14건의 악성코드가 탐지됐다. 한미 연합연습인 을지프리덤가디언(UFG) 기간(8월 21~31일)에 집중된 것은 군사연습에 필요한 장비들을 전장망과 연결하기 전에 악성코드 점검과정을 거쳐야 했기 때문이다.
 
<2017년 군 정보체계 월별 악성코드 탐지 현황>
 
구 분 1월 2월 3월 4월 5월 6월 7월 8월
인터넷 0 63 44 66 35 43 33 97 381
국방망 65 102 53 62 48 47 928 165 1,470
전장망 0 0 1 0 0 0 2 11 14
65 165 98 128 83 90 963 273 1,865


전장망에서 탐지된 악성코드의 대부분은 휴대형 저장매체(USBㆍ외장하드)를 통해 전장망으로 옮기는 도중에 발생했다. 미상의 경로로 전장망 컴퓨터에 오랫동안 잠복해있던 악성코드도 있었다. 육군 모 사단에선 전장망용 컴퓨터의 내부 파일을 정리하기 위해 기존 파일을 열어 보던 중 악성코드가 발견됐다.
 
또한 육군 모 사단과 지원사령부에서는 군사연습ㆍ훈련 진행상황을 화면에 표시하는 장비를 전장망에 연결하는 순간 악성코드가 탐지됐다. 군은 네트워크 기반의 실시간 영상장비(IP Wall)를 세팅하는 과정에서 악성코드가 유입된 것으로 추정했다. 이 악성코드는 침입 가능한 네트워크 포트를 찾아 운영체제 윈도의 메시지를 공유하는 서버메시지블록(SMB) 취약점을 이용해 전파되는데, 성공하면 특정경로에 악성코드를 복제하고 악성행위를 수행한다.
 
이는 북한이 만든 랜섬웨어 ‘워너크라이(WannaCry)’의 전형적인 공격방식이다. 문제가 된 영상장비는 운영체제 ‘윈도7’이 탑재되어 있었는데 보안 업데이트가 되어 있지 않았다. 지난 3월 마이크로소프트(MS)가 윈도 보안 업데이트를 내놨음에도 그동안 군은 납품된 기기에 대한 보안점검을 하지 않다가 전장망과 연결하는 과정에서 알게 됐다.
 
워너크라이는 지난 5월 단기간 내 150개국을 강타했다. 영국의 47개 의료기관에 피해를 입혀 6~7주간 국민보건서비스(HNS) 체계를 흔들어 놓았고, 세계 곳곳의 각종 제조라인 가동을 중지시킨 바 있다. 영국 정보통신본부(GCHQ)는 워너크라이 사건의 배후로 북한을 지목했고, 미 국가안보국(NSA)도 북한의 정찰총국 소행으로 규정했다. 유수의 보안기업들은 북한이 미 국가안보국에서 훔친 사이버무기를 재활용한 것으로 분석했다.
 
군에 대한 사이버위협은 크게 ▷외부위협 ▷내부위협 ▷군 활동을 저해하거나 작전 기능을 마비시킬 수 있는 공급망 위협으로 나눌 수 있다. 이번에 밝혀진 랜섬웨어 감염은 사이버보안을 위한 하드웨어나 소프트웨어의 공급망 위협이 가시적으로 나타난 사례라 할 수 있다. 전장망은 다른 네트워크와 단절돼 있어 필요시 전장망과 연결해야 하는 수많은 장비에 아직 숱한 악성코드가 걸러지지 않는 채 있을 수 있다.

관련 기사
 
폐쇄망이라도 안전하지 않다. 외부의 정교한 사이버공격만이 아니라 내부의 부주의도 한몫을 한다. 또 장비를 통해 이미 들어온 악성코드는 잠복해있다 조건이 맞으면 활성화한다. 칩에 악성코드를 숨겨놓고 특정 조건이 충족되면 오류를 생성하거나 자폭해 무기체계를 작동불능에 빠뜨리는 ‘치핑(Chipping)’과 같은 물리적 사이버무기에도 경각심을 가져야 한다.
 
진보된 무기체계들은 너무나도 많은 정보시스템들에 의존하고 있다. 첨단무기들은 재래식 무기와 달리 여러 네트워크와 연결되어 있어 의도적 공격과 비의도적 사고에서 자유로울 수 없다. 망이 분리되어 있다고는 하지만 장비 제조단계에서 악성코드를 심어놓을 수 있고 소프트웨어 업데이트 과정에서 얼마든지 우회 침투가 가능하다.
 
군의 외주기업에 대한 책임성을 강화해야 한다. 방위산업은 국가안보와 직결돼있어 군의 직접적인 지원이 필요하다. 미 국방부는 국방보안서비스(DSS_Defense Security Service)라는 별도 조직(직원수 700여명)을 두고, 정부ㆍ군과 계약해 국가기밀을 취급하는 기업들에 대한 보안업무를 지원한다. 무방비 상태인 방산기업과 협력기관의 지원과 함께 군 공급망 전반에 대한 철저한 대비책이 필요한 시점이다.
 
손영동 한양대학교 교수


 
AD

중앙일보 핫 클릭

PHOTO & VIDEO

shpping&life

뉴스레터 보기

김민석의 Mr. 밀리터리 군사안보연구소

군사안보연구소는 중앙일보의 군사안보분야 전문 연구기관입니다.
북핵위기 심화 및 동북아 안보환경 변화 등 미래 변화에 능동적으로 대처하기 위해 2017년 7월 1일 개소했습니다.
연구소는 대학과 정부출연 연구 기관 등과 연계해 학술행사를 개최하며, 정기적으로 자문회의를 열고 다양한 시각과 차별화된 이슈를 제시합니다.

군사안보연구소는 2016년 10월 1일 중앙일보 홈페이지 조인스(news.joins.com)에 문을 연 ‘김민석의 Mr. 밀리터리’(news.joins.com/mm)를 운영하며 디지털 환경에 특화된 군사ㆍ안보ㆍ무기에 관한 콘텐트를 만들고 있습니다.

연구소 사람들
김민석 소장 : kimseok@joongang.co.kr (02-751-5511)
국방연구원 전력발전연구부ㆍ군비통제센터를 거쳐 1994년 중앙일보에 입사한 국내 첫 군사전문기자다. 국방부를 출입한 뒤 최장수 국방부 대변인(2010~2016년)으로 활동했다. 현재은 군사안보전문기자 겸 논설위원으로 한반도 군사와 안보문제를 깊게 파헤치는 글을 쓰고 있다.

박용한 연구위원 : park.yonghan@joongang.co.kr (02-751-5516)
북한의 급변사태와 안정화 전략’을 주제로 북한학 박사를 받았다. 국방연구원 안보전략연구센터ㆍ군사기획연구센터와 고려대학교 아세아문제연구소 북한연구센터에서 군사ㆍ안보ㆍ북한을 연구했다. 2016년부터는 중앙일보에서 군사ㆍ안보 분야 취재와 기사를 쓰고 있다.