[단독] 북한 소행 추정 ‘국방부 해킹’ 배후에 중국 선양의 해킹팀 있다

[일요신문] 국방부는 2016년 12월 6일, 내부 인트라넷용 국방 망이 뚫린 사실을 공식 시인했다. 국방 망이 뚫린 것은 우리 창군 이래 처음이다. 국방부는 국방 망과 연결된 복수의 PC 내 군사기밀 자료 일부가 외부로 유출됐다고 밝혔다. 이번 일은 최순실 국정농단 사태가 온 나라를 휘감고 있는 상황에서 상대적으로 주목도가 떨어질 뿐, 군의 심장부가 뚫렸다는 점에서 충격적인 사건임이 틀림없다. 국방부는 이 같은 국방 망 해킹 사태와 관련해 북한의 소행으로 추정했다. 그런데 <일요신문>은 이번 국방부 해킹 사태와 관련해 뜻밖의 첩보를 입수할 수 있었다. 그 내막을 들여다봤다.
 
사건이 발생한 것은 2016년 9월 23일이다. 당시 군 사이버사령부는 육해공 인터넷 접속용 PC 2만여 대의 보안을 담당하는 사이버사령부 백신중계서버가 악성코드에 감염된 사실을 발견했다. 이후 국방부는 국정원, 합동참모본부, 사이버사령부, 기무사, 국방조사본부 등 복수 기관의 외부 인력을 파견 받아 합동조사팀을 꾸리고 대대적인 조사에 착수했다. 로그분석 결과 최초 침투는 이미 2016년 8월경에 있었던 것으로 드러났다.

이에 대해 처음 문제를 제기한 이는 김진표 더불어민주당 의원이었다. 국회 국방위원회 소속인 김 의원은 2016년 10월 1일 “사이버사령부의 백신중계서버가 해킹당했다”고 처음 밝혔다. 이 당시 변재선 사이버사령관은 “내부망이 분리돼 있어 해킹 가능성은 매우 낮다”고 해명했다. 하지만 추후 조사 결과 군 내부 인트라넷용 국방 망과 연결된 복수의 PC가 이미 감염돼 일부 군사기밀 자료가 외부로 유출됐음이 밝혀졌다. 

일각에선 이번 해킹으로 국방부 내 1, 2급 이상의 군사기밀 사항이 대거 유출됐을 가능성을 거듭 제기하고 나섰다. 심지어 국방부 장관의 PC도 해킹됐다. 이 때문에 그 피해 정도가 심각할 것으로 예상되기도 했다. 하지만 국방부는 유출된 기밀자료의 내용과 관련해선 “군의 대응수준을 노출시킬 수 있어 (공개는) 제한된다”며 공개를 꺼리고 있는 상황이다. 한민구 국방부 장관 역시 지난해 12월 12일 국회 국방위원회에 참석해 “피해 규모가 심각하지 않다”며 확대해석을 일축하기도 했다.

또 한 가지 핵심은 이번 국방부 해킹이 누구의 소행이냐는 것이다. 일단 국방부는 여느 때와 마찬가지로 이번 해킹 역시 북한의 소행으로 추정했다. 국방부가 밝힌 북한 소행 추정의 배경은 크게 세 가지다. 첫째 해킹 경유지로 북한이 사용하던 중국의 선양 IP주소가 식별됐다는 점, 둘째 채집된 악성코드의 종류가 북한이 과거 사용했던 악성코드와 유사하다는 점, 셋째는 한글 자판 PC 사용 흔적 등이다. 하지만 이는 정황이나 추정의 근거일 뿐 실제 해킹의 소행 주체를 식별하기엔 너무나 부족하다.

이런 상황에서 <일요신문>은 최근 군 내부 사정에 밝은 한 정보원으로부터 뜻밖의 얘기를 들을 수 있었다. 국내와 중국을 오가며 정보활동을 하고 있는 이 정보원은 자신의 신분과 소속에 대해 익명을 요구했다. 정보원에 따르면 앞선 국방부 해킹사건 소행의 주체는 북한이 아닌 중국 정부 소속의 해킹 팀이며, 이러한 정보는 이미 우리 군도 보고 받았다고 밝혔다. 

정보원이 밝힌 중국 배후 의혹의 내용은 대략 이러하다. ▲첫째, 우리 국방부 해킹에 대한 준비는 이미 2016년 6월경부터 기획됐다 ▲둘째, 그 주체는 북한이 아닌 중국 랴오닝성 선양(심양)에 위치한 중국 정부 소속의 한 해킹 팀이다 ▲셋째, 이 해킹 팀은 국방부 내부 망 침투에 앞서 북한 소속의 해커 7명(추정)을 초빙했다. 무엇보다 국내 사이버 망 사정에 밝고, 침투 경험이 많은 북한 해커들의 도움이 필요했다는 것이다. 
 
이를 종합해보면 실제 국방부 내부 망 침투에 동원된 해커는 경험 많은 복수의 북한 해커지만, 이를 기획하고 실행한 주체는 중국 해킹 팀이라는 것이다. 국방부 조사에 따라 밝혀진 IP주소 식별, 악성코드의 종류, 한글 자판 PC 사용 흔적 등은 북한 해커의 소행으로 추정할 수 있겠지만 그 배후를 정확히 단정하기에는 뭔가 부족하다.

이와 관련해 앞서의 정보원은 “중국의 이 같은 우리 국방부 내부 망 침투는 이미 예견된 사안”이라며 “한국 정부는 2016년 초부터 사드 설치를 공식화하고 이에 대한 중국 측의 이해를 구하기 위해 부단히 노력해왔다. 하지만 시진핑 정권은 이에 대해 노골적인 불쾌감만 드러내 왔다. 중국은 그 사드 설치의 실행 주체라 할 수 있는 우리 군에 대한 단순한 기밀정보 탈취를 넘어 그 충격 효과를 노린 것”이라고 설명했다.

실제 최근 한-중 관계는 단순한 냉각을 넘어 살벌하기까지 하다. ‘한한령(限韓令)’ ‘금한령(禁韓令)’이란 말이 나올 정도로 중국의 보복조치가 난무하고 있다. 이러한 보복조치는 단순한 통상 무역을 넘어 한류 콘텐츠와 자국 여행객의 방한 제한 등 전 분야에 걸쳐서 행해지고 있다. 

왕이(王毅) 중국 외교부장은 1월 4일 더불어민주당 의원들과 만난 자리에서 “사드 배치를 늦추면 갈등 국면을 전환하겠다”는 입장을 피력하기도 했다. 사실상 중국 측이 한한령 보복 조치를 공식 시인한 셈이다. 이 같은 배경 속에서 중국의 국방부 내부 망 침투 의혹은 설득력을 얻고 있는 분위기다.

또한 앞서의 정보원은 “우리 정부의 사이버 망 피해 분석 방식에도 변화가 필요하다”며 “무작정 몇 가지 정황만 갖고 북한의 소행으로 결론짓는 행태는 이제 지양해야 한다. 구체적으로 밝히긴 어렵지만 북한 소행으로 추정한 국내 몇몇 공공기관 및 시설의 해킹 피해 사건이 일부는 북한이 아닌 주변국의 소행이었을 것으로 추측된다. 변화가 필요하다”고 덧붙였다. 

한편, 국방부는 추후 해킹사고 재발 방지를 위해 보안 위반자에 대한 엄중 처벌, 사고사례 전파 및 사용자 교육시행, 사이버 전문인력 양성 등 중장기 후속조치를 추진하겠다는 입장을 밝혔다.

한병관 기자 wlimodu@ilyo.co.kr