사이버테러 방지 대책, 근본부터 바꿔야

김승주 고려대학교 사이버국방학과 교수

사실 북의 사이버테러는 어제 오늘의 일이 아니다. 2009년 7월 7일에 있었던 7·7 디도스(DDoS·분산서비스거부) 공격을 비롯해 2011년 농협 전산망 해킹과 2013년 3·20 방송·금융전산망 해킹, 2014년에 있었던 대학병원 전산망 해킹 및 한수원 해킹을 비롯해 2016년 인터파크 개인정보 유출 사건까지 거의 매년 크고 작은 사건들이 줄을 잇고 있다.

그러나 이번 작계 유출이 그 어느 때보다 심각한 것은 이것이 현재 우리 군의 사이버테러 대응태세에 대한 총체적 부실을 적나라하게 보여주고 있기 때문이다.

모든 것을 자급자족할 수는 없으므로 군은 백신 등 필요한 보안제품을 민간업체로부터 구매해 사용하게 된다. 납품제품에 대한 검수 및 개발업체(협력사)에 대한 관리·감독은 국군기무사령부가 담당하고 있는데, 이번 사건의 경우 이러한 검수 및 관리가 제대로 이뤄지지 않았다(일명, ‘공급망 보안 (supply chain security)’). 백신을 납품한 보안업체는 이미 1년 전에 해킹을 당해 관련 소스코드를 탈취 당한 적이 있으며 이번에 문제가 된 백신중계서버에는 보안 취약점들이 검 수과정에서 제거되지 않은 체 남아있었다.

두 번째로 DIDC에 대한 관리 부실을 들 수 있다. 군 등 주요 기관은 내부망과 외부 인터넷을 분리해 운영해야 한다(일명, ‘망분리 정책’). 그러나 조사결과 2년 전 DIDC를 구축하는 과정에서 용역 업체 직원이 국방 내부망에 필요한 프로그램 설치를 위해 인터넷을 연결했고 이를 끊지 않아 2개 망이 연결된 것이 밝혀졌다. 군 당국은 2년이나 넘게 망혼용을 감지하지 못했고 결국 해커에게 군 내부망으로 통하는 문을 열어준 것이다.

세 번째로 일선 군 실무자들의 보안의식 부족 및 태만이다. 군 규정상 군사기밀이 포함된 문서를 PC에서 다룰 때는 국방 내부망 및 인터넷망과 연결된 선을 모두 분리한 뒤 작업해야 한다. 그러나 합동참모본부 및 특수전사령부 실무자들은 이 보안 규정을 어긴체 PC를 사용했으며 이때를 노린 해커는 해당 PC로부터 작계 등 다수의 기밀문서를 탈취해 갔다.

네 번째로 군의 보다 신속하고 전방위적인 감시체계 미흡이다. 최전방 장병들이 휴전선 철책선의 방어 경계 임무를 맡은 것처럼 군 전산망에 대한 침입시도를 감시하는 역할은 현재 사이버사령부가 맡고 있다. 사이버사령부가 국방부 백신중계서버에 침입 흔적이 있음을 발견하고 보고한 것은 9월 초였으나, 이후 조사결과 최초의 침입은 8월초 이전에, 또한 그 징후는 이미 2015년 초에 나타났던 것으로 파악됐다. 모든 공격 징후를 조기에 탐지하고 조치하는 것이 결코 쉬운 일은 아니나, 군사 정보의 특수성과 중요성을 감안한다면 아쉬움이 남는다.

마지막으로 사이버테러 대응과 관련한 명확한 업무분장 및 컨트롤타워의 부재를 들 수 있다. 현재 각 군의 사이버테러 및 사이버전 관련 역할 및 임무에 대해서는 ‘국방사이버안보훈령’에서 정의하고 있다. 그러나 2016년 12월 국정감사에서 모 의원이 “총체적 난관임에도 책임라인에 있는 국방부 정보화기획관, 기무사, 사이버사령부가 서로 책임을 떠넘기기에 바쁘다”고 지적한 바 있듯, 안보훈령상의 업무 분장이 명확치 않아 많은 업무가 중복 할당돼 있다. 더욱 심각한 것은 사고 발생 시 책임을 질 컨트롤타워가 불분명하며 이 컨트롤타워가 가져야 하는 권한 또한 매우 부족하다.

보안 분야의 명언 중에 “보안이라는 사슬은 이를 구성하고 있는 수많은 고리들 중 가장 약한 고리만큼만 안전하다”라는 말이 있다. 이는 정책에서부터 기술 또 그것을 운영하는 사람에 이르기까지 한 조직의 보안을 구성하는 요소들은 수없이 많은데, 이 구성요소들은 모두가 똑같이 중요하며 예외가 없다는 뜻이다.

앞서 다섯 가지 사고 원인을 살펴봤듯이, 이번 작계 유출 사건은 관련한 모든 부서의 책임이지 특정한 한 기관의 책임이 아니며 기술의 문제만이 아닌 관리·감독의 문제, 의식의 문제이기도 하다. 더욱이 군 전용 백신을 개발하겠다는 근시안적인 대책만으로는 해결되지도 않는다. 더욱 더 근본적인 대책 마련이 요구되는 시점이다.