Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

대한민국 군 내부망 해킹 사건 개요와 분석

이대영 기자 | ITWorld 2016.12.07
사상 초유의 사건이 벌어졌다. 국방부는 지난 6일 군이 운영하는 내부망이 해킹에 의해 뚫린 사실을 공식적으로 밝혔다. 그동안 국방부는 내부망은 망분리를 통해 엄격히 관리되고 있다며 해킹 가능성을 일축해 왔다.

국방부 대변인은 6일 오전 정례 브리핑에서 "군 인터넷 백신체계 해킹 사고 조사를 진행하던 중 국방망 일부 PC에도 동종의 악성코드가 감염된 것이 식별됐다"고 밝혔다. 또한 국방부는 "국방사이버합동조사팀을 구성해 관련 내용을 조사한 결과, 군사비밀을 포함한 일부 군사정보가 유출된 것을 확인했고 이는 북한의 소행으로 추정된다"고 설명했다.

하지만 유출 정보의 종류와 피해 규모에 대해서는 군의 대응능력이 노출될 수 있다는 이유로 공개하지 않았다. 이번 해킹 공격으로 감염된 컴퓨터는 모두 3,200여 대로, 이 가운데 2,500대는 외부망용, 700대는 내부망용인 것으로 알려졌다.

군 내부망 해킹 사건 일지
- 2016년 8월 4일 최초 침투: 악성코드 로그 기록 존재
- 2016년 9월 23일 군 내부망 해킹 흔적 발견: 육해공군의 외부 인터넷망 PC 2만 여 대의 백신 중계 서버를 통해 악성코드 유포
- 2016년 9월 25일 백신 중계 서버 강제 분리: 다수의 PC가 좀비 PC로 감염되는 것을 막기 위한 조치 
- 2016년 10월 2일 합동수사팀 설치: 국가정보원·합동참모본부·국군사이버사령부·기무사령부·국방조사본부 등 6~7개 기관에서 30여 명의 인력 구성해 2개월 간 조사
- 2016년 10월 5일 국정감사에서 군 내부망 해킹 가능성 제기: 사이버사령부, 해킹 가능성에 대해 일축
- 2016년 12월 6일 국방부 내부망 해킹 인정: 발견된 IP 주소가 중국 선양이며 사용된 악성코드의 형태에 비추어 북한 소행으로 추정

국방부는 "군의 정보체계는 업무용 인터넷망과 국방망, 작전에 사용되는 전작망 등 3곳인데, 이번엔 전작망은 해킹되지 않았다"고 밝혔다. 또한 "군사비밀정보보호협정을 통해 외국에서 받은 비밀 정보는 이번에 유출되지 않았다"고 덧붙였다.

폐쇄망, 접점 관리가 무엇보다 중요
하지만 일각에서는 내부 국방망이 해킹당해 대량의 군 기밀정보가 노출된 상황에서 전작망도 해킹 당했을 가능성을 배제하지 않고 있다. 전상훈 보안 전문가는 자신의 페이스북에 "폐쇄망이라는 것만 믿고 내부망 보안은 형식에 그쳤을 것이다. 내부망이 뚫린 이상, 피해는 상상하는 것 이상일 수 있다"고 분석했다.

또한 "망분리를 했다고 괜찮다는 생각은 정보의 전달, 가공, 연결의 의미를 과소평가하는 것"이라며, "폐쇄망을 연결할 때는 항상 정보의 전달과 가공을 위해 다수의 접점을 가질 수밖에 없는데, 이 접점에 대한 관리는 무엇보다 중요하다"고 설명했다.

그는 "공격의 패러다임은 바뀌었는데, 보안정책 입안자나 정책 당국은 10여 년 전 보안 대책을 여전히 제시한다. 최신 백신 업데이트, 서버 및 PC 패치 철저, 불법 파일 다운로드 금지, 첨부파일 실행 금지, 이상한 사이트 방문 금지 등은 2003년부터 거론되던 보호 대책이다"고 말했다. 

그는 "P2P, 파일공유 사이트를 통한 파일 다운로드가 문제가 아니라 웹 서핑만으로도 감염되는 것이 현 상황"이라며, "현재 보안 문제를 해결하기 위해서는 인식과 발상의 전환이 필요하다"고 주장했다. 

그는 "우선 폐쇄망이라 안전하다는 인식을 버려야 한다"고 주장했다. 또한 기존 보안장비들이 탐지하는 것은 이미 알려진 영역으로, 사고는 알려지지 않은(Unknown) 영역의 악성코드와 위협에 의해 발생하기 때문에 알려지지 않은 악성코드를 알려진 영역으로 전환하기 위한 대대적인 노력이 필요하다고 말했다. 

이와 함께 구색 맞추기식의 위협 정보보다는 현재의 위험을 일정수준 경감시킬 수 있는 맞춤형 위협 정보의 수집이 절실하고 정보 갱신, 보안장비에 대한 정보 업데이트를 통한 새로운 탐지체계 구축이 필수적이라고 덧붙였다. editor@itworld.co.kr 
 Tags 악성코드 국방부 보안 망분리 내부망
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.