해킹 사고를 당한 국방부가 민간 회사를 상대로 거액의 손해배상 소송을 제기한 사실이 알려지면서 비판 여론이 커지고 있다.
국방부가 1차적으로 관리해야 할 국방망이 해킹된 사건을 두고, 외부 보안업체 혹은 망분리 시스템을 구축, 운영해 온 업체에 민사소송을 제기하는 것이 맞냐는 지적이다.
국방부에 해킹 사고가 발생한 것은 지난해 8월~9월 무렵이었다. 당시 국방부 외부망, 내부망에 연결된 PC 3천200여대가 악성코드에 감염돼 내부 자료가 유출되는 해킹사건이 발생했다.
한 동안 잠잠하던 이 사건은 국방부가 지난 달 말 백신회사와 전산망을 구축한 시스템통합(SI) 회사에 50억원 손해배상 소송을 제기하면서 또 다시 논란이 일고 있다.
■ '사전고지 의무 위반' 주장, 사실과 달라
국방부가 소송을 제기하면서 내세운 근거는 크게 두 가지다. 백신회사가 사전에 해킹 사실에 대해 제대로 알리지 않았고, 망분리 시스템을 제대로 구축하지 않아 망혼용 구간이 생겼다는 게 그 이유다.
하지만 20일 관련 업계에 확인한 건 결과 국방부 주장은 사실과 다른 것으로 나타났다.
일단 2016년 9월께 발생한 국방망 해킹사건은 이보다 앞서 2015년 1월, 5월 발생한 해킹사건과 연결돼 있다. 이런 상황에도 불구하고 국방부는 백신회사 H사가 이를 제대로 알리지 않았다고 주장했다.
H사는 2015년 사건의 경우 자사 직원이 사용하는 인터넷과 연결된 PC 1대와 기술지원을 위한 파일서버가 침해를 당한 사실이 있어 국가정보원, 경찰청과 조사를 진행했으며 유출된 자료가 기무사령부, 사이버사령부에 전달돼 국방부 보안에 영향을 주지 않았다고 결론이 났다고 설명했다.
2016년 9월 사건에서 H사가 관리하는 백신 중계 서버 취약점을 악용해 악성코드가 유포된 것은 맞지만 이런 내용이 2015년 건과는 무관하다는 의견이다.
더구나 국방망 해킹사건을 인지한 뒤 한 달여 간 조사에 참여했던 H사는 배제된다. 그 뒤 12월께 조사발표가 공개된다. 3개월여 시간 동안 국방망 내부에서 해당 취약점과 관련한 보안 업데이트가 제대로 이뤄지지 않은 셈이다.
■ 망분리 환경도 별 무리없어…보안업계, 뒤늦게 책임추궁 이해 못해
또 다른 문제로 지적되는 것은 망분리가 제대로 돼있었냐는 점이다. 본래 망분리는 해킹으로 인한 정보유출 가능성을 줄이기 위해 중요한 내부 정보는 인터넷과 연결되지 않은 내부망을 통해서만 운영되도록 하는 방식을 말한다. 인터넷과 연결되는 외부망과는 분리되는 게 원칙이다.
다만 현실적으로 망분리 시스템을 구축한 경우에도 외부망과 연결되는 PC로 내부망에 접근해 정보를 입력하는 등 작업이 필요한 경우가 생긴다. 이를 관리하는 것이 망연계 솔루션이다.
이와 관련 국방통합데이터센터(DIDC)를 구축한 L사는 국방부 검수를 거쳐 2015년 1월 시스템 구축을 완료했다는 입장이다. 같은 해 2월에는 사업을 잘 수행한 덕에 국방부 장관 표창까지 수여했는데 지금에 와서 책임 소재를 묻고 있다는 지적이다. 망분리 환경이 제대로 운영되지 못했다면 제대로 검수하거나 관리하지 못한 국방부의 책임도 피할 수 없다는 뜻이다.
관련기사
- 구글·아마존 AI스피커, 뻥뚫린 블루투스 보안 패치2017.11.20
- 구형 항공기, 주파수 조작하니 해킹되네2017.11.20
- 해킹 고수들이 찾아낸 갤S8-아이폰7 취약점은2017.11.20
- 하나투어 해킹, 주민번호 등 개인정보 100만여건 유출2017.11.20
이에 더해 국방망에 공격자가 침투해 자료를 유출시키는 동안 보안관리를 위해 어떤 시스템을 추가로 구축했고, 이들이 제대로 작동했는지 여부에 대해서는 구체적으로 확인되지 않고 있다. 백신 중계 서버 취약점이 악용돼 내부망에서 정보가 외부로 빠져나오기까지 보안관제, 데이터유출방지, 문서보안 등 기능이 있었는지, 있었다면 왜 제대로 작동하지 않았는지 등 관리의 문제가 남아있다.
보안업계 관계자는 "제품에 취약점이 있었다고 해서 책임소재를 묻게 된다면 마이크로소프트(MS)가 가장 큰 배상금을 물어줘야할 것"이라며 "취약점을 국방부에 제 때 얘기하지 않았다는 부분도 H사 책임을 묻기는 힘들어 보인다"고 말했다.
