⊙ “내부에서 목격한 걸 기억해서 일일이 수기로 작성했을 가능성 있어”(前 사이버작전사령부 고위 관계자)
⊙ “블랙 요원 신상 유출, 인적 보안이 제대로 지켜지지 못한 사례”(김창훈 대구대 교수)
⊙ “물리적 망 분리, 잘 지키면 완벽하지만 현실적으로 쉽지 않아”
⊙ “VPN은 전통적 방식의 보안 체계”(사이버 보안 업체 관계자)
⊙ “블랙 요원 신상 유출, 인적 보안이 제대로 지켜지지 못한 사례”(김창훈 대구대 교수)
⊙ “물리적 망 분리, 잘 지키면 완벽하지만 현실적으로 쉽지 않아”
⊙ “VPN은 전통적 방식의 보안 체계”(사이버 보안 업체 관계자)
- 사진=조선DB
“보안의 첫 번째 원칙은 의심이다.”
지난 7월 22일 만난 전직 정보기관 간부는 “방첩 요원이 가장 먼저 배우는 것”이라고 설명했다. 그런데 이 ‘원칙’이 무너지고 있다.
2016년 북한이 국방부 컴퓨터에 악성 프로그램을 심어 국방망(網) 내부 군사 자료를 빼내는 일이 있었는가 하면, 2021년엔 북한 해커가 원자력연구원과 한국항공우주산업(KAI) 업무망에 침투해 대량의 자료를 탈취하는 사건이 있었다. 법원 전산망의 경우, 아예 2021년 이전부터 북한 해킹 조직에 의해 털리고 있었지만 정보 당국은 2023년이 돼서야 이를 탐지했다.
결정적으로, 국군 정보사령부(정보사) ‘블랙 요원(비밀 첩보 요원)’ 명단이 유출되는 초유의 사태가 벌어지고 말았다. 지난 6월 정보 당국이 이러한 기밀 유출 정황을 포착한 이후 사건 경위에 대해선 수사가 진행되고 있다.
이번 일을 계기로 사이버 보안 조치를 강화해야 한다는 전문가 의견이 나오고 있다. 기존의 사이버 보안 체계는 ▲망 분리 ▲VPN(가상 사설망)에 기반하고 있는데, 이것만으론 부족하다는 지적이다.
이러한 취약점은 국가기관뿐만 아니라 평범한 시민들의 일상을 위협하기도 한다. 사물 인터넷(IOT)이 보급되면서 집 안 곳곳에 있는 냉장고, 월 패드(wall pad·집안 벽면에 붙어 있는 제어 장치), 홈캠(외부에서 집 안을 들여다볼 수 있게 해주는 카메라) 등은 모두 해킹의 대상이 될 수 있다. 이 중에서도 월 패드를 해킹할 경우, 집 문을 딸 수도 있고 탑재된 카메라로 집 안의 모습을 유출시킬 수도 있다. 이를 해결하기 위해 세대 간 ‘망 분리’가 의무화됐다. 하지만 여전히 취약점이 드러난 기존 VPN 기반 보안 체계에 의존하고 있어 해킹을 예방하는 데 역부족이라는 지적이 나온다. 사이버 보안 위협은 민관(民官)을 가리지 않고 당면한 문제라는 얘기다.
가장 먼저, 국민적 공분을 일으킨 ‘블랙 요원 신상 유출 사건’을 살펴본다. 기밀 유출 혐의를 받는 군무원 A씨는 자신의 노트북 컴퓨터가 해킹을 당했다고 주장했다. 반면 군 당국은 “해킹은 아니다”라고 밝혔다. A씨의 노트북에 들어 있던 블랙 요원 관련 정보는 정보사 내부 컴퓨터에 있던 보안 자료였다.
“해킹은 기록 남는다”
지난 8월 8일 국방부 정례 브리핑에 나선 전하규 대변인은 A씨의 대북(對北) 혐의점과 관련해 “군 수사기관에서 그 혐의를 포함해서 검찰로 송치했다”고 밝혔다. A씨는 군사기밀보호법 위반 및 군(軍)형법 제13조 간첩, 동법 제14조 일반이적(利敵) 등의 혐의를 받는 것으로 알려졌다. 군형법상 간첩은 사형 또는 무기징역에 해당하는 중죄(重罪)다. 정보사 소속 블랙 요원들은 주로 대북 관련 임무를 수행하는 것으로 전해진다.
A씨는 노트북이 해킹을 당했다고 주장했다. 하지만 기자가 만난 사이버 보안 전문가들은 ‘해킹은 기록이 남는다’고 반박했다. 이들은 “해킹 툴(프로그램)을 통해 정보를 빼낼 텐데, 해킹 툴을 짤 땐 해킹할 디바이스(노트북 등 기기)에 대한 정보까지 다 빼오게끔 만든다”고 했다.
앞서 7월 30일 국회 정보위원회 간사(국민의힘 이성권·더불어민주당 박선원)들은 군 당국의 업무 보고를 받고 이번 사건과 관련해 “해킹은 아니었다”라고 분명히 했다. 다만 자세한 내용에 대해선 사건이 수사 중인 점, 국가 안보와 관련된 점 등을 들어 말을 아꼈다.
전문가들에 따르면, 북한은 개인의 컴퓨터에서 해킹한 자료에 대해 ‘정말 한국의 기밀 자료인지’를 검증한다고 한다. 해킹을 하는 것과 해킹한 정보로 움직이는 것도 투자를 하는 것이기 때문이다. 따라서 북한 해커들은 반드시 ‘이 정보는 어느 주소에서, 어느 사람의 어느 컴퓨터에서 가져온 게 맞다’라고 하는 정보를 함께 보고한다.
사이버작전사령부 고위 관계자를 지낸 B씨는 7월 31일 기자와의 통화에서 ‘군 내부망에 악성 코드를 심어놓으면 해킹이 가능한 것 아니냐’는 물음에 “쉽지 않을 것”이라고 대답했다. 기밀 유출 혐의를 받는 군무원은 정보사 군 간부 출신이며 전역 후 군무원으로 재취업한 것으로 알려졌다. B씨도 그와 마찬가지로 전역 후 관련 공직을 지낸 바 있다. 그의 얘기다.
“만약에 정보사 내부망에 악성 코드를 심었다면 정보사 시스템에 큰 문제가 있는 거죠. 그런데 그렇게 민감한 정보는 그걸 별도로 관리하고 있는 조직들이 있고, 전용망이 완전히 따로 분리돼 있거든요. 다른 쪽에서는 접근도 못 하는 정보사 내부의 별도 망이 있습니다.”
일일이 옮겨 적었을 가능성
B씨는 또 “군에서 블랙 요원의 기밀 등급은 굉장히 높다”며 “개인 노트북은 (영내로) 갖고 들어갈 수 없다”고 했다. 이어 “실제로 (군) 내부망 등에는 저장 매체 통제 장치가 다 설치돼 있다”며 국가 기밀 정보는 구조적으로 외부의 노트북 등으로 자료를 이동시킬 수 없다고 했다. 그러면서 “DRM(접근 제한 프로그램) 같은 게 있다”고 덧붙였다. B씨에게 물었다.
― 블랙 요원 정보를 취급했던 사람이라면, 어떤 방법으로든 해당 정보를 자기 노트북에 저장할 수도 있지 않나요.
“쉽지 않습니다. 그런 정보의 DRM을 풀려면 보안 담당자 승인이 있어야 하고 기록(로그 기록·누가, 언제, 어떻게 시스템에 접근해서 무엇을 했는지 자동 저장되는 기록)도 남게 됩니다. (이번에 누출된) 그 기록은 삭제할 수 없는 구조거든요. 설령 승인을 받아 DRM을 풀었더라도, 그걸 다른 저장 매체에 저장하려면 그 망 안에서 또다시 승인을 받아야 하거든요.”
― 그럼 어떻게 해야 이런 일이 벌어질 수 있는 건가요.
“저도 내용을 보면서 ‘어떻게 이렇게 (정보가) 나왔지’ 했는데, (군) 내부에서 하루에 한 건씩 출력되거나 거기서 본 걸 기억하고 밖에 나가서 입력하고 장기간에 걸쳐서 한다고 하면 시스템상 허점이 없어도 (정보 유출을) 할 수 있겠죠. 출력물, 그리고 화면을 보고 (블랙 요원) 한 사람씩 기억하고 밖에 나가서 자기 거(PC)에 입력하고, 다음에 또 본 걸 밖에서 (개인 컴퓨터에) 쳐 넣고, 이렇게 한다고 하면요. 내가 그 부분(블랙 요원 정보)을 알고 싶다면, 한 사람씩만 보고 (기억해서 개인 컴퓨터에 입력)하면 몇 달만 해도 되고요.”
관련 전문가들에 의하면, B씨가 가정한 사례는 예전부터 꽤 있었다고 한다. 영내에서 본 정보를 외워서 외부로 반출한 경우다. 다시 B씨에게 물었다.
― 그사이에 블랙 요원이 바뀔 수도 있는 것 아닌가요.
“그 사람들(블랙 요원)은 한 번 들어가면 몇 년 동안 바뀌지 않고 (활동)하기 때문에 한 번 (블랙 요원으로 해당 국에) 들어가면 10년, 20년 이렇게 있거든요. 그렇게 (자주) 바뀌거나 변경되지 않기 때문에 그 지역 어학 인재나 이런 사람들을 선발해서 (해당 국에) 보내고 하기 때문에 잘 바뀌진 않습니다.”
또 다른 보안 전문가는 “조사 기법을 통해 보면, 일단 그게 해킹으로 넘어갔다면 기기 정보도 같이 넘어가는 경우가 많다”며 “메일 주소라든가, 기기 정보라든가. 그러면 나중에 그 자세한 내용이 나온다”고 했다. 그러면서 “해킹이나 원격 조종 등의 형태로 이게(블랙 요원 정보) 넘어갔다면 관련된 백그라운드 정보가 같이 있을 것”이라고 말했다.
“접근 권한 강화해야”
이처럼 A씨가 블랙 요원의 신상 관련 자료들을 조금씩 기억해서 자신의 컴퓨터에 입력한 것이라면 사이버 보안 조치를 아무리 강화해도 무용지물이다. 해킹 방어 체계를 아무리 촘촘하게 구축해 놓아 봤자 영내(營內) 출력물 등을 눈으로 보게 되는 이상, 머릿속에 넣어 가면 그만이기 때문이다. 그러나 온갖 경우를 가정하더라도, 결국 민감 정보에 대한 접근 권한을 강화해야 한다는 결론이 나온다는 게 전문가들의 시각이다.
7월 31일 서울의 한 사무실에서 만난 김창훈 대구대학교 정보보호학과 교수는 “블랙 요원 관련 정보가 C 등급이라고 가정하면, C 등급에 맞게끔 물리적으로 분리해야 하는 건 물론이고 정보에 접근할 때 ‘크로스 도메인(외부 인터넷 주소 호출 차단)’ 조치가 돼 있어야 한다”고 말했다. 김 교수는 국가정보원이 운영하고 있는 ‘국가전산망 보안정책 개선 TF(임시 조직)’에 소속돼 있다. 국정원에서 기술 담당 평가위원 및 평가지표 분과장을 지낸 그는 이번 사건에 대해 “인적 보안이 제대로 지켜지지 못한 사례인 것으로 보인다”고 분석했다. 김 교수에게 물었다.
― 인적 보안이 무엇인가요.
“민감 정보에 대한 접근 권한을 가진 사람이 그 데이터(정보)를 제3자에게 넘기는 걸 막는 거죠. 지금 군에서 일어난 사건을 보면 망 분리를 강화해야 할 것으로 보입니다.”
― 어떻게요?
“기존의 분리된 망 영역 안에서 누군가는 또 민감 정보에 접근해야 하는데, 그 접근 권한에 추가적인 조치를 취해야 한다는 거죠.”
국가정보원은 ‘기존의 망 분리 정책이 허점을 드러낸 사례가 있느냐’는 기자의 서면 질의에 “2016년 북한이 국방부 인터넷 PC를 최초 감염시킨 후, 분리된 국방망까지 침투하여 군사 자료를 대거 절취했다”고 8월 7일 답했다. 그러면서 “당시 해커는 국방망과 인터넷을 혼용(위규사안) 중인 서버를 악용해 침투했다”고 했다. 국가 보안 시설에 들어가면 규정상 외부 인터넷을 쓸 수 없는데, 이를 어기고 내부망과 외부 인터넷을 혼용하다가 해킹을 당한 사례다.
“완전무결한 망 분리, 현실적으로 어려워”
내부와 외부의 인터넷 망이 물리적으로 분리돼 있는 상황에서 해커는 어떻게 침투할 수 있을까. 7월 22일 서울 소재 사이버 보안 업체 C사를 찾아갔다. C사 관계자는 “망 분리를 하면 내부망과 외부 인터넷의 접점이 없어야 한다”면서도 “내부자가 업무를 할 때 불편하니까 외부 인터넷 랜선에 컴퓨터를 연결해 사용하는 경우가 있다”고 했다. 그러면서 “국가기관에서 일어나는 해킹 사례도 이러한 경우가 드물지 않다”고 덧붙였다. C사 관계자에게 물었다.
― 외부망에 잠깐만 연결하는 건 괜찮을 것 같은데요.
“밖에서 가져온 USB에 악성 코드가 심어져 있으면 그걸 보안 시설 내부 컴퓨터에 꽂는 순간 컴퓨터는 감염됩니다. 물론 외부망과 연결이 되지 않은 상태에선 이 컴퓨터의 자료가 밖으로 빠져나갈 수 없죠. 그런데 외부망에 연결하는 순간 악성 코드가 작동해 모든 자료를 외부로 전송하게 됩니다. 특히나 요즘은 인터넷의 속도가 워낙 빨라져서 잠깐 외부망에 연결하더라도 몇 초 사이에 방대한 자료가 쑥 빠져나갈 수 있습니다. ‘아차’ 하고 외부망 연결선을 뽑아도 이미 때는 늦은 거죠.”
― 해커 입장에선, 악성 코드가 담긴 USB를 내부 컴퓨터에 꽂았다고 하더라도 외부망과 접점이 있을 때까지 기다려야 하는 건가요.
“여러 방식이 있지만, 이 경우엔 그렇죠. 시한폭탄이라고 볼 수 있습니다. 이러한 해킹은 몇 년에 걸친 작업이 될 수 있는 거죠.”
― 그렇다면 악성 코드를 꽂은 컴퓨터의 자료만 유출되는 것 아닌가요.
“아니죠. 해당 컴퓨터가 내부망과 연결돼 있으니 한 대에만 악성 코드를 심어놔도 내부에서 오가는 모든 자료를 유출시킬 수 있습니다.”
― 망 분리 수칙을 철저하게 지키면 이런 일은 벌어지지 않는 것 아닌가요.
“완전 무결하게 폐쇄망으로 관리하면 그럴 수 있죠. 그런데 사실 일을 하다 보면 외부 인터넷과의 접점이 없을 수가 없어요. 사람이 하는 일이다 보니, 정부기관 내부에서도 외부 인터넷과 연결하는 일이 비일비재한 것으로 알고 있어요. 그러니까 지금도 여러 기관이 다 털리고 있잖아요.”
내부자를 믿지 않는 ‘제로 트러스트’
정보기관도 실무 현장이 이렇게 돌아간다는 점과 이로 인한 취약점을 인지하고 있는 듯하다. 국정원은 국가 전산망 보안 정책 개선안으로 ‘다층보안체계(MLS·Multi Level Security)’ 전환을 추진하고 있다. 획일적으로 적용하던 기존의 망 분리 체계를 보안 등급에 따라 차등 적용하겠다는 계획이다. 업무 중요도에 따라 내부망 정보에 ▲기밀 ▲민감 ▲공개 등의 등급을 매겨 접근 권한을 구분하는 게 골자다.
대신, 이러한 전산망 환경에 부합하는 새로운 보안 체계인 ‘제로 트러스트(zero trust)’를 도입하겠다는 방침이다. 이에 따라 정부는 ‘한국형 제로 트러스트 모델’을 마련하고 있다. 외부와 통신은 가능하되, 중요한 정보에 있어 보안 조치를 강화하겠다는 취지다.
외부와 통신이 가능하다는 점에서 되레 보안 우려가 나올 수 있지만, 제로 트러스트의 개념은 ‘신뢰할 수 있는 네트워크’라는 개념 자체를 배제하기 때문에 최근 빈번한 ‘내부자에 의한 해킹 또는 정보 유출 사고’를 막는 데 효과적이라는 평가를 받는다. 제로 트러스트는 망 내외부에 언제나 공격자가 존재할 수 있다는 점을 가정한 체계로, 명확한 인증을 거치기 전까진 모든 사용자 및 기기와 트래픽을 신뢰하지 않도록 설계돼 있다. 심지어 인증을 거친 후에도 끊임없이 신뢰성 검증이 이뤄진다.
실제로 미국의 경우, 2022년 바이든 대통령이 ‘60일 이내 각 기관장들은 제로 트러스트 구현 계획을 개발할 것’을 지시했다. 이에 미 국방부는 제로 트러스트 조직을 설립, 관련 구상을 발표했다.
그런데 여기엔 ‘VPN 없는 구현’이 포함돼 있다. 사기업인 구글(google)도 제로 트러스트를 구축하기 위해 액세스(접근) 제어를 네트워크 경계에서 개별 사용자로 전환해 VPN 없이 업무를 수행하고 있다. 국내에서도 VPN 기반 사이버 보안 체계가 한계를 드러냈다는 목소리가 나온다.
“VPN은 고전적 방식”
국가정보원은 VPN 기반의 보안 체제가 허점을 보인 사례가 있느냐는 질의에 “2021년 6월경 북한 해커가 VPN 서버의 취약점을 악용, 원자력연구원과 한국항공우주산업(KAI)의 업무망에 침투하여 대량의 자료를 절취했다”고 답했다.
또 다른 사이버 보안 전문가 D씨는 VPN 기반 보안 체제에 대해 “망 분리가 적용된 회사나 국가기관에서 근무하는 사람들이 재택근무를 하기 위해 대체제로 쓰인 게 VPN이다”라고 설명했다. 그의 설명을 쉽게 풀어 말하면 VPN은 내부망 접근 권한이 있는 사람이 외부에 있을 때, 그를 내부망에 접근할 수 있도록 ‘길’을 만들어주는 보안 조치다. 일단 내부망의 방화벽을 넘어 들어오게 되면, 믿을 수 있는 접속자로 인증을 받은 것이기 때문에 그 안에선 자유롭게 정보에 접근할 수 있다.
VPN은 SSL VPN과 IPSec VPN으로 나뉜다. IPSec VPN의 경우, 접속자와 관리자 양측에 네트워크를 연결하는 장치가 있어야 하는 반면 SSL VPN은 접속자가 별도의 장치 없이 VPN 클라이언트 소프트웨어를 기기에 설치하면 된다. 최근 들어서는 이마저도 설치할 필요가 없는 경우가 많다. 망(웹) 브라우저(검색 프로그램)에 전송 계층 보안 기술을 적용하기 때문이다.
그런데 VPN으로 막아놓은 인터넷 망은 우회해서 접속하면 그만이다. 실제로 한국에선 접속이 차단된 북한의 인터넷 사이트도 VPN 우회 사이트를 통해 링크만 입력하면 쉽게 들어갈 수 있다. 또 흔히 쓰는 SSL VPN의 경우, 내부망을 보호하는 데 목적을 두기 때문에 접속자의 기기에 대한 방어 조치는 취해지지 않는다.
D씨는 이를 “전통적 방식의 보안 체계”라며 “제로 트러스트는 내부망 안에서도 접속자를 믿지 않고, 민감한 정보에 접근할 때마다 인증을 거쳐 접근 권한을 부여하는 설계 개념”이라고 설명했다. 그는 “VPN 기반 보안 체제가 일상 속 IOT(사물 인터넷)에도 적용돼 있는데, 이러한 기기들은 더욱 보안에 취약하다”고 설명했다.
집안 곳곳이 해킹 위험에 노출
D씨는 직접 월 패드를 해킹하는 모습을 보여줬다. 실제로 2021년엔 국내 해커가 40만 가구의 월 패드를 해킹해 그것에 달린 카메라로 집 안 내부를 들여다보고 해당 영상물을 팔아넘기려 한 사건이 일어났다.
아파트와 같은 공동 주택에서 흔히 볼 수 있는 월 패드는 다양한 기능을 갖고 있다. 엘리베이터를 호출할 수도 있고, 초인종을 누른 사람의 얼굴을 확인할 수도 있다. 관리사무소와 연락할 수도 있으며 공동현관은 물론, 현관문까지 이 월 패드를 통해 열 수도 있다. D씨에게 물었다.
― 월 패드 가구 간 망 분리를 VPN으로 하면 어떻습니까.
“VPN 기반 보안 체계를 운영하는 아파트는 집중구내통신실과 TPS실을 거쳐 각 가구 월 패드와 공용부 공간(엘리베이터 등)의 기기를 제어합니다. 그런데 이렇게만 운영하면 VPN서버만 해킹돼도 단지 내 모든 가구가 뚫릴 위험에 그대로 노출됩니다. 각 가구가 동일한 VPN 서버를 통해 월 패드 서버와 연결되므로 해킹에 취약한 거죠. 네트워크망을 제대로 분리할 수 없는 구조이므로 추가적인 보완이 필요합니다.”
― 실제로도 쉽게 뚫리나요.
“월 패드와 같은 IOT 기기는 탑재된 소프트웨어를 업데이트할 일이 거의 없습니다. 스마트폰은 주기적으로 OS(운영 체제) 업데이트를 하잖아요. 이때 해킹 취약점에 대한 보완이 이뤄지거든요. 그런데 월 패드와 같은 사물 인터넷은 한 번 소프트웨어를 구축하면 끝입니다. 해킹 기술은 나날이 발달하고 있는데 취약점에 대한 업데이트가 이뤄지질 않으니 기기의 권한을 장악하기가 쉽죠.”
D씨는 자신의 노트북 컴퓨터를 펴고 월 패드와 현관 도어락 앞에 앉았다. 그가 메모장으로 보이는 검은 색 화면을 띄우고 복잡한 명령어를 수십 줄 입력하자마자 ‘띠띠띠’ 하는 소리와 함께 현관문이 벌컥 열렸다. 걸린 시간은 불과 26초. 곧이어 월 패드에 달린 카메라를 해킹하기 시작했다. 이번엔 10초도 채 걸리지 않았다.⊙
지난 7월 22일 만난 전직 정보기관 간부는 “방첩 요원이 가장 먼저 배우는 것”이라고 설명했다. 그런데 이 ‘원칙’이 무너지고 있다.
2016년 북한이 국방부 컴퓨터에 악성 프로그램을 심어 국방망(網) 내부 군사 자료를 빼내는 일이 있었는가 하면, 2021년엔 북한 해커가 원자력연구원과 한국항공우주산업(KAI) 업무망에 침투해 대량의 자료를 탈취하는 사건이 있었다. 법원 전산망의 경우, 아예 2021년 이전부터 북한 해킹 조직에 의해 털리고 있었지만 정보 당국은 2023년이 돼서야 이를 탐지했다.
결정적으로, 국군 정보사령부(정보사) ‘블랙 요원(비밀 첩보 요원)’ 명단이 유출되는 초유의 사태가 벌어지고 말았다. 지난 6월 정보 당국이 이러한 기밀 유출 정황을 포착한 이후 사건 경위에 대해선 수사가 진행되고 있다.
이번 일을 계기로 사이버 보안 조치를 강화해야 한다는 전문가 의견이 나오고 있다. 기존의 사이버 보안 체계는 ▲망 분리 ▲VPN(가상 사설망)에 기반하고 있는데, 이것만으론 부족하다는 지적이다.
이러한 취약점은 국가기관뿐만 아니라 평범한 시민들의 일상을 위협하기도 한다. 사물 인터넷(IOT)이 보급되면서 집 안 곳곳에 있는 냉장고, 월 패드(wall pad·집안 벽면에 붙어 있는 제어 장치), 홈캠(외부에서 집 안을 들여다볼 수 있게 해주는 카메라) 등은 모두 해킹의 대상이 될 수 있다. 이 중에서도 월 패드를 해킹할 경우, 집 문을 딸 수도 있고 탑재된 카메라로 집 안의 모습을 유출시킬 수도 있다. 이를 해결하기 위해 세대 간 ‘망 분리’가 의무화됐다. 하지만 여전히 취약점이 드러난 기존 VPN 기반 보안 체계에 의존하고 있어 해킹을 예방하는 데 역부족이라는 지적이 나온다. 사이버 보안 위협은 민관(民官)을 가리지 않고 당면한 문제라는 얘기다.
가장 먼저, 국민적 공분을 일으킨 ‘블랙 요원 신상 유출 사건’을 살펴본다. 기밀 유출 혐의를 받는 군무원 A씨는 자신의 노트북 컴퓨터가 해킹을 당했다고 주장했다. 반면 군 당국은 “해킹은 아니다”라고 밝혔다. A씨의 노트북에 들어 있던 블랙 요원 관련 정보는 정보사 내부 컴퓨터에 있던 보안 자료였다.
“해킹은 기록 남는다”
지난 8월 8일 국방부 정례 브리핑에 나선 전하규 대변인은 A씨의 대북(對北) 혐의점과 관련해 “군 수사기관에서 그 혐의를 포함해서 검찰로 송치했다”고 밝혔다. A씨는 군사기밀보호법 위반 및 군(軍)형법 제13조 간첩, 동법 제14조 일반이적(利敵) 등의 혐의를 받는 것으로 알려졌다. 군형법상 간첩은 사형 또는 무기징역에 해당하는 중죄(重罪)다. 정보사 소속 블랙 요원들은 주로 대북 관련 임무를 수행하는 것으로 전해진다.
A씨는 노트북이 해킹을 당했다고 주장했다. 하지만 기자가 만난 사이버 보안 전문가들은 ‘해킹은 기록이 남는다’고 반박했다. 이들은 “해킹 툴(프로그램)을 통해 정보를 빼낼 텐데, 해킹 툴을 짤 땐 해킹할 디바이스(노트북 등 기기)에 대한 정보까지 다 빼오게끔 만든다”고 했다.
앞서 7월 30일 국회 정보위원회 간사(국민의힘 이성권·더불어민주당 박선원)들은 군 당국의 업무 보고를 받고 이번 사건과 관련해 “해킹은 아니었다”라고 분명히 했다. 다만 자세한 내용에 대해선 사건이 수사 중인 점, 국가 안보와 관련된 점 등을 들어 말을 아꼈다.
전문가들에 따르면, 북한은 개인의 컴퓨터에서 해킹한 자료에 대해 ‘정말 한국의 기밀 자료인지’를 검증한다고 한다. 해킹을 하는 것과 해킹한 정보로 움직이는 것도 투자를 하는 것이기 때문이다. 따라서 북한 해커들은 반드시 ‘이 정보는 어느 주소에서, 어느 사람의 어느 컴퓨터에서 가져온 게 맞다’라고 하는 정보를 함께 보고한다.
사이버작전사령부 고위 관계자를 지낸 B씨는 7월 31일 기자와의 통화에서 ‘군 내부망에 악성 코드를 심어놓으면 해킹이 가능한 것 아니냐’는 물음에 “쉽지 않을 것”이라고 대답했다. 기밀 유출 혐의를 받는 군무원은 정보사 군 간부 출신이며 전역 후 군무원으로 재취업한 것으로 알려졌다. B씨도 그와 마찬가지로 전역 후 관련 공직을 지낸 바 있다. 그의 얘기다.
“만약에 정보사 내부망에 악성 코드를 심었다면 정보사 시스템에 큰 문제가 있는 거죠. 그런데 그렇게 민감한 정보는 그걸 별도로 관리하고 있는 조직들이 있고, 전용망이 완전히 따로 분리돼 있거든요. 다른 쪽에서는 접근도 못 하는 정보사 내부의 별도 망이 있습니다.”
일일이 옮겨 적었을 가능성
B씨는 또 “군에서 블랙 요원의 기밀 등급은 굉장히 높다”며 “개인 노트북은 (영내로) 갖고 들어갈 수 없다”고 했다. 이어 “실제로 (군) 내부망 등에는 저장 매체 통제 장치가 다 설치돼 있다”며 국가 기밀 정보는 구조적으로 외부의 노트북 등으로 자료를 이동시킬 수 없다고 했다. 그러면서 “DRM(접근 제한 프로그램) 같은 게 있다”고 덧붙였다. B씨에게 물었다.
― 블랙 요원 정보를 취급했던 사람이라면, 어떤 방법으로든 해당 정보를 자기 노트북에 저장할 수도 있지 않나요.
“쉽지 않습니다. 그런 정보의 DRM을 풀려면 보안 담당자 승인이 있어야 하고 기록(로그 기록·누가, 언제, 어떻게 시스템에 접근해서 무엇을 했는지 자동 저장되는 기록)도 남게 됩니다. (이번에 누출된) 그 기록은 삭제할 수 없는 구조거든요. 설령 승인을 받아 DRM을 풀었더라도, 그걸 다른 저장 매체에 저장하려면 그 망 안에서 또다시 승인을 받아야 하거든요.”
― 그럼 어떻게 해야 이런 일이 벌어질 수 있는 건가요.
“저도 내용을 보면서 ‘어떻게 이렇게 (정보가) 나왔지’ 했는데, (군) 내부에서 하루에 한 건씩 출력되거나 거기서 본 걸 기억하고 밖에 나가서 입력하고 장기간에 걸쳐서 한다고 하면 시스템상 허점이 없어도 (정보 유출을) 할 수 있겠죠. 출력물, 그리고 화면을 보고 (블랙 요원) 한 사람씩 기억하고 밖에 나가서 자기 거(PC)에 입력하고, 다음에 또 본 걸 밖에서 (개인 컴퓨터에) 쳐 넣고, 이렇게 한다고 하면요. 내가 그 부분(블랙 요원 정보)을 알고 싶다면, 한 사람씩만 보고 (기억해서 개인 컴퓨터에 입력)하면 몇 달만 해도 되고요.”
관련 전문가들에 의하면, B씨가 가정한 사례는 예전부터 꽤 있었다고 한다. 영내에서 본 정보를 외워서 외부로 반출한 경우다. 다시 B씨에게 물었다.
― 그사이에 블랙 요원이 바뀔 수도 있는 것 아닌가요.
“그 사람들(블랙 요원)은 한 번 들어가면 몇 년 동안 바뀌지 않고 (활동)하기 때문에 한 번 (블랙 요원으로 해당 국에) 들어가면 10년, 20년 이렇게 있거든요. 그렇게 (자주) 바뀌거나 변경되지 않기 때문에 그 지역 어학 인재나 이런 사람들을 선발해서 (해당 국에) 보내고 하기 때문에 잘 바뀌진 않습니다.”
또 다른 보안 전문가는 “조사 기법을 통해 보면, 일단 그게 해킹으로 넘어갔다면 기기 정보도 같이 넘어가는 경우가 많다”며 “메일 주소라든가, 기기 정보라든가. 그러면 나중에 그 자세한 내용이 나온다”고 했다. 그러면서 “해킹이나 원격 조종 등의 형태로 이게(블랙 요원 정보) 넘어갔다면 관련된 백그라운드 정보가 같이 있을 것”이라고 말했다.
“접근 권한 강화해야”
 |
| 7월 31일 서울의 한 사무실에서 만난 김창훈 대구대학교 교수가 해킹 원리를 설명하고 있다. 사진=월간조선 |
7월 31일 서울의 한 사무실에서 만난 김창훈 대구대학교 정보보호학과 교수는 “블랙 요원 관련 정보가 C 등급이라고 가정하면, C 등급에 맞게끔 물리적으로 분리해야 하는 건 물론이고 정보에 접근할 때 ‘크로스 도메인(외부 인터넷 주소 호출 차단)’ 조치가 돼 있어야 한다”고 말했다. 김 교수는 국가정보원이 운영하고 있는 ‘국가전산망 보안정책 개선 TF(임시 조직)’에 소속돼 있다. 국정원에서 기술 담당 평가위원 및 평가지표 분과장을 지낸 그는 이번 사건에 대해 “인적 보안이 제대로 지켜지지 못한 사례인 것으로 보인다”고 분석했다. 김 교수에게 물었다.
― 인적 보안이 무엇인가요.
“민감 정보에 대한 접근 권한을 가진 사람이 그 데이터(정보)를 제3자에게 넘기는 걸 막는 거죠. 지금 군에서 일어난 사건을 보면 망 분리를 강화해야 할 것으로 보입니다.”
― 어떻게요?
“기존의 분리된 망 영역 안에서 누군가는 또 민감 정보에 접근해야 하는데, 그 접근 권한에 추가적인 조치를 취해야 한다는 거죠.”
국가정보원은 ‘기존의 망 분리 정책이 허점을 드러낸 사례가 있느냐’는 기자의 서면 질의에 “2016년 북한이 국방부 인터넷 PC를 최초 감염시킨 후, 분리된 국방망까지 침투하여 군사 자료를 대거 절취했다”고 8월 7일 답했다. 그러면서 “당시 해커는 국방망과 인터넷을 혼용(위규사안) 중인 서버를 악용해 침투했다”고 했다. 국가 보안 시설에 들어가면 규정상 외부 인터넷을 쓸 수 없는데, 이를 어기고 내부망과 외부 인터넷을 혼용하다가 해킹을 당한 사례다.
“완전무결한 망 분리, 현실적으로 어려워”
내부와 외부의 인터넷 망이 물리적으로 분리돼 있는 상황에서 해커는 어떻게 침투할 수 있을까. 7월 22일 서울 소재 사이버 보안 업체 C사를 찾아갔다. C사 관계자는 “망 분리를 하면 내부망과 외부 인터넷의 접점이 없어야 한다”면서도 “내부자가 업무를 할 때 불편하니까 외부 인터넷 랜선에 컴퓨터를 연결해 사용하는 경우가 있다”고 했다. 그러면서 “국가기관에서 일어나는 해킹 사례도 이러한 경우가 드물지 않다”고 덧붙였다. C사 관계자에게 물었다.
― 외부망에 잠깐만 연결하는 건 괜찮을 것 같은데요.
“밖에서 가져온 USB에 악성 코드가 심어져 있으면 그걸 보안 시설 내부 컴퓨터에 꽂는 순간 컴퓨터는 감염됩니다. 물론 외부망과 연결이 되지 않은 상태에선 이 컴퓨터의 자료가 밖으로 빠져나갈 수 없죠. 그런데 외부망에 연결하는 순간 악성 코드가 작동해 모든 자료를 외부로 전송하게 됩니다. 특히나 요즘은 인터넷의 속도가 워낙 빨라져서 잠깐 외부망에 연결하더라도 몇 초 사이에 방대한 자료가 쑥 빠져나갈 수 있습니다. ‘아차’ 하고 외부망 연결선을 뽑아도 이미 때는 늦은 거죠.”
― 해커 입장에선, 악성 코드가 담긴 USB를 내부 컴퓨터에 꽂았다고 하더라도 외부망과 접점이 있을 때까지 기다려야 하는 건가요.
“여러 방식이 있지만, 이 경우엔 그렇죠. 시한폭탄이라고 볼 수 있습니다. 이러한 해킹은 몇 년에 걸친 작업이 될 수 있는 거죠.”
― 그렇다면 악성 코드를 꽂은 컴퓨터의 자료만 유출되는 것 아닌가요.
“아니죠. 해당 컴퓨터가 내부망과 연결돼 있으니 한 대에만 악성 코드를 심어놔도 내부에서 오가는 모든 자료를 유출시킬 수 있습니다.”
― 망 분리 수칙을 철저하게 지키면 이런 일은 벌어지지 않는 것 아닌가요.
“완전 무결하게 폐쇄망으로 관리하면 그럴 수 있죠. 그런데 사실 일을 하다 보면 외부 인터넷과의 접점이 없을 수가 없어요. 사람이 하는 일이다 보니, 정부기관 내부에서도 외부 인터넷과 연결하는 일이 비일비재한 것으로 알고 있어요. 그러니까 지금도 여러 기관이 다 털리고 있잖아요.”
내부자를 믿지 않는 ‘제로 트러스트’
정보기관도 실무 현장이 이렇게 돌아간다는 점과 이로 인한 취약점을 인지하고 있는 듯하다. 국정원은 국가 전산망 보안 정책 개선안으로 ‘다층보안체계(MLS·Multi Level Security)’ 전환을 추진하고 있다. 획일적으로 적용하던 기존의 망 분리 체계를 보안 등급에 따라 차등 적용하겠다는 계획이다. 업무 중요도에 따라 내부망 정보에 ▲기밀 ▲민감 ▲공개 등의 등급을 매겨 접근 권한을 구분하는 게 골자다.
대신, 이러한 전산망 환경에 부합하는 새로운 보안 체계인 ‘제로 트러스트(zero trust)’를 도입하겠다는 방침이다. 이에 따라 정부는 ‘한국형 제로 트러스트 모델’을 마련하고 있다. 외부와 통신은 가능하되, 중요한 정보에 있어 보안 조치를 강화하겠다는 취지다.
외부와 통신이 가능하다는 점에서 되레 보안 우려가 나올 수 있지만, 제로 트러스트의 개념은 ‘신뢰할 수 있는 네트워크’라는 개념 자체를 배제하기 때문에 최근 빈번한 ‘내부자에 의한 해킹 또는 정보 유출 사고’를 막는 데 효과적이라는 평가를 받는다. 제로 트러스트는 망 내외부에 언제나 공격자가 존재할 수 있다는 점을 가정한 체계로, 명확한 인증을 거치기 전까진 모든 사용자 및 기기와 트래픽을 신뢰하지 않도록 설계돼 있다. 심지어 인증을 거친 후에도 끊임없이 신뢰성 검증이 이뤄진다.
실제로 미국의 경우, 2022년 바이든 대통령이 ‘60일 이내 각 기관장들은 제로 트러스트 구현 계획을 개발할 것’을 지시했다. 이에 미 국방부는 제로 트러스트 조직을 설립, 관련 구상을 발표했다.
그런데 여기엔 ‘VPN 없는 구현’이 포함돼 있다. 사기업인 구글(google)도 제로 트러스트를 구축하기 위해 액세스(접근) 제어를 네트워크 경계에서 개별 사용자로 전환해 VPN 없이 업무를 수행하고 있다. 국내에서도 VPN 기반 사이버 보안 체계가 한계를 드러냈다는 목소리가 나온다.
“VPN은 고전적 방식”
국가정보원은 VPN 기반의 보안 체제가 허점을 보인 사례가 있느냐는 질의에 “2021년 6월경 북한 해커가 VPN 서버의 취약점을 악용, 원자력연구원과 한국항공우주산업(KAI)의 업무망에 침투하여 대량의 자료를 절취했다”고 답했다.
또 다른 사이버 보안 전문가 D씨는 VPN 기반 보안 체제에 대해 “망 분리가 적용된 회사나 국가기관에서 근무하는 사람들이 재택근무를 하기 위해 대체제로 쓰인 게 VPN이다”라고 설명했다. 그의 설명을 쉽게 풀어 말하면 VPN은 내부망 접근 권한이 있는 사람이 외부에 있을 때, 그를 내부망에 접근할 수 있도록 ‘길’을 만들어주는 보안 조치다. 일단 내부망의 방화벽을 넘어 들어오게 되면, 믿을 수 있는 접속자로 인증을 받은 것이기 때문에 그 안에선 자유롭게 정보에 접근할 수 있다.
VPN은 SSL VPN과 IPSec VPN으로 나뉜다. IPSec VPN의 경우, 접속자와 관리자 양측에 네트워크를 연결하는 장치가 있어야 하는 반면 SSL VPN은 접속자가 별도의 장치 없이 VPN 클라이언트 소프트웨어를 기기에 설치하면 된다. 최근 들어서는 이마저도 설치할 필요가 없는 경우가 많다. 망(웹) 브라우저(검색 프로그램)에 전송 계층 보안 기술을 적용하기 때문이다.
그런데 VPN으로 막아놓은 인터넷 망은 우회해서 접속하면 그만이다. 실제로 한국에선 접속이 차단된 북한의 인터넷 사이트도 VPN 우회 사이트를 통해 링크만 입력하면 쉽게 들어갈 수 있다. 또 흔히 쓰는 SSL VPN의 경우, 내부망을 보호하는 데 목적을 두기 때문에 접속자의 기기에 대한 방어 조치는 취해지지 않는다.
D씨는 이를 “전통적 방식의 보안 체계”라며 “제로 트러스트는 내부망 안에서도 접속자를 믿지 않고, 민감한 정보에 접근할 때마다 인증을 거쳐 접근 권한을 부여하는 설계 개념”이라고 설명했다. 그는 “VPN 기반 보안 체제가 일상 속 IOT(사물 인터넷)에도 적용돼 있는데, 이러한 기기들은 더욱 보안에 취약하다”고 설명했다.
집안 곳곳이 해킹 위험에 노출
 |
| 아파트 거실 벽면에 설치된 월 패드. 사진=조선DB |
아파트와 같은 공동 주택에서 흔히 볼 수 있는 월 패드는 다양한 기능을 갖고 있다. 엘리베이터를 호출할 수도 있고, 초인종을 누른 사람의 얼굴을 확인할 수도 있다. 관리사무소와 연락할 수도 있으며 공동현관은 물론, 현관문까지 이 월 패드를 통해 열 수도 있다. D씨에게 물었다.
― 월 패드 가구 간 망 분리를 VPN으로 하면 어떻습니까.
“VPN 기반 보안 체계를 운영하는 아파트는 집중구내통신실과 TPS실을 거쳐 각 가구 월 패드와 공용부 공간(엘리베이터 등)의 기기를 제어합니다. 그런데 이렇게만 운영하면 VPN서버만 해킹돼도 단지 내 모든 가구가 뚫릴 위험에 그대로 노출됩니다. 각 가구가 동일한 VPN 서버를 통해 월 패드 서버와 연결되므로 해킹에 취약한 거죠. 네트워크망을 제대로 분리할 수 없는 구조이므로 추가적인 보완이 필요합니다.”
― 실제로도 쉽게 뚫리나요.
“월 패드와 같은 IOT 기기는 탑재된 소프트웨어를 업데이트할 일이 거의 없습니다. 스마트폰은 주기적으로 OS(운영 체제) 업데이트를 하잖아요. 이때 해킹 취약점에 대한 보완이 이뤄지거든요. 그런데 월 패드와 같은 사물 인터넷은 한 번 소프트웨어를 구축하면 끝입니다. 해킹 기술은 나날이 발달하고 있는데 취약점에 대한 업데이트가 이뤄지질 않으니 기기의 권한을 장악하기가 쉽죠.”
D씨는 자신의 노트북 컴퓨터를 펴고 월 패드와 현관 도어락 앞에 앉았다. 그가 메모장으로 보이는 검은 색 화면을 띄우고 복잡한 명령어를 수십 줄 입력하자마자 ‘띠띠띠’ 하는 소리와 함께 현관문이 벌컥 열렸다. 걸린 시간은 불과 26초. 곧이어 월 패드에 달린 카메라를 해킹하기 시작했다. 이번엔 10초도 채 걸리지 않았다.⊙
