'워너크라이' 랜섬웨어에 공격...유입경로 등 몰라
전쟁 상황 시 군사작전과 지휘 사항을 전달하는 군 내부 작전정보시스템인 '한국군합동지휘통제체계(이하 전장망)'가 북한이 만든 '워너크라이' 랜섬웨어에 공격당한 것으로 드러났다. 지난해 9월 북한에 국방망을 해킹 당한 데 이어 전장망마저 뚫렸다. 대형 해킹 사고 후에도 제대로 사이버 보안 조치는 이뤄지지 않았다. 군 사이버 보안 체계를 새로 짜야 한다는 목소리가 높다.
이철우 자유한국당 의원이 군 당국으로부터 제출받은 자료에 따르면 육군 ○○사단 전장망이 지난 8월 21일 한·미 연합연습 을지프리덤가디언(UFG) 기간 워너크라이에 감염됐다. 전장망은 평시엔 군사연습과 훈련 시 정보를 주고받을 때 쓴다. 전시에 군사작전과 지휘 사항을 전달하는 최고 등급 보안망이다. 전장망이 마비되면 국가 안보에 치명타다.
워너크라이는 지난 5월 초 세계를 강타했다. 영국 의료기관 47곳을 비롯해 르노 등 각종 제조공장 라인을 가동을 중지시켰다. 워너크라이 공격 하루 만에 세계 150여개국 약 23만여대 기기가 감염됐다. 미국 정부는 5월 북한이 지원하는 해킹 조직 라자루스가 워너크라이를 유포했다고 밝혔다.
합동참모본부는 5월 14일 워너크라이 랜섬웨어 대응 차원에서 인포콘을 3단계로 격상했다. 이런 조치에도 군은 워너크라이 확산이 멈춘 3개월 후에 전장망 감염 피해를 봤다. 당시 전장망에 대한 워너크라이 대응이 제대로 이뤄지지 않았다. PC 업데이트를 하지 않은 정황이다. 마이크로소프트(MS)는 이미 3월 관련 보안 업데이트를 진행했다.
군은 전장망에 어떤 종류 악성코드에 감염됐는지도 밝히지 못했다. 군은 악성코드가 영상 운영장비 'IP Wall' 장비 세팅 과정에서 유입된 것으로 추정했다.
한 보안 전문가는 “최초 유입 지점이 IP Wall이라면 전장망과 연결되는 기기에 대한 보안성 검토가 이뤄지지 않았다는 말”이라면서 “군의 사이버 보안 총체 부실을 보여 준다”고 지적했다.
군 자료에 따르면 전장망 일부 PC가 'mssecsvc.exe, tasksche.exe' 파일에 감염됐다고 보고했다. 해당 실행 파일이 워너크라이 랜섬웨어다. 군은 미상 경로에서 유입된 악성코드 파일이 특정 경로 'C:windowsmssecsvc.exe'로 자가 복제한다고 명시했다. 동일 IP 대역과 랜섬 IP를 스캔해서 네트워크에 연결 가능한 IP가 확인되면 윈도 서버메시지블록(SMB)의 취약점을 이용, 네트워크 웜으로 전파한다고 설명했다. 워너크라이 전형 특성이다.
워너크라이는 5월에 확산을 멈추는 킬스위치가 작동, 더 이상 확산하지 않는다. 그 대신 전장망과 같이 인터넷과 폐쇄된 망이 감염되면 킬스위치가 작동하지 않아 피해를 준다. 군은 여전히 최초 유입 경로를 파악하지 못하면서 피해 사실 감추기에 급급했다.
김승주 고려대 사이버국방학과 교수는 “전장망은 완전히 폐쇄됐다고 믿는 망 분리 맹신이 가져온 결과”라면서 “워너크라이 사태를 철저히 대응한 민간과 달리 군의 허술한 체계가 만천하에 드러났다”고 성토했다.
이철우 의원은 “사이버사령부는 해당 악성코드가 워너크라이 랜섬웨어라는 사실조차 파악하지 못하고 단순 바이러스 감염으로 알았다”면서 “지난해 국방망 해킹 사고를 당하고도 전혀 달라진 것이 없다”고 질타했다.
김인순 보안 전문기자 insoon@etnews.com
