[단독]전쟁때 운영하는 '전장망'도 북 해킹... 北이 만든 워너크라이에 감염

전쟁 상황시 군사작전과 지휘사항을 전달하는 군 내부 작전정보시스템인 '한국군합동지휘통제체계(이하 전장망)'가 북한이 만든 '워너크라이' 랜섬웨어에 공격당한 것으로 드러났다. 지난해 9월 북한에 국방망을 해킹당한 데 이어 전장망마저 뚫렸다. 대형 해킹 사고 후에도 제대로 사이버 보안 조치는 이뤄지지 않았다. 군 사이버 보안 체계를 새로 짜야 한다는 목소리가 높다.

이철우 자유한국당 의원이 군 당국으로부터 제출받은 자료에 따르면 육군 00사단 전장망이 지난 8월 21일 한미 연합연습 을지프리덤가디언(UFG) 기간 중 워너크라이에 감염됐다. 전장망은 평시엔 군사연습과 훈련 시 정보를 주고받을 때 쓴다. 전시에 군사작전과 지휘사항을 전달하는 최고 등급 보안망이다. 전장망이 마비되면 국가 안보에 치명적 영향을 준다.

우리군 전장망이 북한이 만든 랜섬웨어 '워너크라이' 피해를 입었다. ⓒ게티이미지뱅크
<우리군 전장망이 북한이 만든 랜섬웨어 '워너크라이' 피해를 입었다. ⓒ게티이미지뱅크>

워너크라이는 지난 5월 초 세계를 강타했다. 영국 의료기관 47곳을 비롯해 르노 등 각종 제조공장 라인을 가동을 중지시켰다. 워너크라이 공격 하루 만에 세계 150여 개국 약 23만여 대 기기가 감염됐다. 미국 정부는 5월 북한이 지원하는 해킹 조직 라자루스가 워너크라이를 유포했다고 밝혔다.

합동참모본부는 5월 14일 워너크라이 랜섬웨어 대응 차원에서 인포콘을 3단계로 격상했다. 이런 조치에도 군은 워너크라이 확산이 멈춘 3개월 후 전장망 감염 피해를 입었다. 당시 전장망에 대한 워너크라이 대응이 제대로 이뤄지지 않았다. PC 업데이트를 하지 않은 정황이다. 마이크로소프트는 이미 3월 관련 보안 업데이트를 진행했다.

군은 전장망에 어떤 종류 악성코드에 감염됐는지도 밝히지 못했다. 군은 악성코드가 영상운영장비 'IP Wall' 장비 세팅과정에서 유입된 것으로 추정했다.

한 보안 전문가는 “최초 유입 지점이 IP Wall이라면 전장망과 연결되는 기기에 대한 보안성 검토가 이뤄지지 않았다는 말”이라면서 “군의 총체적인 사이버 보안 부실을 보여준다”고 지적했다.

국방부 전장망이 워너크라이 랜섬웨어에 감염된 것이 확인됐다. <자료제공 시만텍>
<국방부 전장망이 워너크라이 랜섬웨어에 감염된 것이 확인됐다. <자료제공 시만텍>>

군 자료에 따르면 전장망 일부 PC가 'mssecsvc.exe, tasksche.exe' 파일에 감염됐다고 보고했다. 해당 실행파일이 워너크라이 랜섬웨어다. 군은 미상 경로에서 유입된 악성코드 파일이 특정 경로 'C:windowsmssecsvc.exe'로 자가 복제한다고 명시했다. 동일 IP대역과 랜섬 IP를 스캔해 네트워크에 연결 가능한 IP가 확인되면 윈도 서버메시지블록(SMB) 취약점을 이용해 네트워크 웜으로 전파한다고 설명했다. 전형적인 워너크라이 특성이다.

워너크라이는 5월 확산을 멈추는 킬스위치가 작동해 더 이상 확산하지 않는다. 대신 전장망과 같이 인터넷과 폐쇄된 망이 감염되면 킬스위치가 작동하지 않아 피해를 입힌다. 군은 여전히 최초 유입 경로를 파악하지 못하면서 피해 사실 감추기에 급급했다.

김승주 고려대 사이버국방학과 교수는 “전장망은 완전히 폐쇄됐다고 믿는 망분리 맹신이 가져온 결과”라면서 “워너크라이 사태를 철저히 대응한 민간과 달리 군의 허술한 체계가 만천하에 드러났다”고 말했다.

[단독]전쟁때 운영하는 '전장망'도 북 해킹... 北이 만든 워너크라이에 감염

이철우 의원은 “사이버사령부는 해당 악성코드가 워너크라이 랜섬웨어라는 사실 조차 파악하지 못하고 단순 바이러스 감염으로 알았다”며 “지난해 국방망 해킹 사고를 당하고도 전혀 달라진 것이 없다”고 지적했다.

김인순 보안 전문기자 insoon@etnews.com

위방향 화살표