# 북한 정보총국 소속 해커는 최근 한국에서 유출된 KT, SK커뮤니케이션즈, 넥슨 등 개인정보명단을 입수했다. 이중에서 주소가 군인아파트로 되어있는 군 관계자 연락처를 따로 뽑아 리스트를 작성했다. 북한 해커들은 군 관계자들을 대상으로 휴대폰 해킹을 시도, 비상 연락시스템을 붕괴시키기 위해 시도했다. 이들은 군 연락망 무력화를 시작으로 국방망, 정부망, 금융망, 사회기반망 해킹을 동시에 개시, 사이버전쟁의 불씨를 당겼다.
가상의 사이버전쟁 시나리오지만 유출된 개인정보에 군 관계자들이 포함되어 있고 이를 식별할 수 있다면 현실에서 일어날 수도 있는 사건이다.
국내 해커 A씨는 4일 본지에 이 같은 `군 연락망 무력화 해킹` 기법을 소개했다.
A씨는 “우리는 북한이라는 실제 존재하는 위협세력이 있기 때문에 개인정보 유출 사고를 단순히 보이스피싱 등 금전적인 피해가 발생하는 사고로만 단순 치부해서는 안된다”며 “유출된 개인정보에 국가 안보를 책임지는 주요 인사들의 명단이 포함돼 있을 경우 자칫 군 안보에 치명적인 위험이 될 수 있다”고 경고했다.
그는 북한 등의 해커가 최근 발생한 KT 870만 개인정보 유출 사고, 지난해 SK커뮤니케이션즈, 넥슨 등 다수의 개인정보 유출사고에서 주소가 군인아파트, 국방부 등으로 되어있는 군 관계자 연락처를 따로 추출해 명단을 작성할 수 있다고 밝혔다.
이후 집전화 및 휴대전화의 경우 1초당 1회의 송신·차단 등을 반복하는 경우 대상자의 집 전화 및 휴대폰의 벨소리·진동이 발생하지 않으며 타인이 대상자에게 연락을 시도할 때 통화 중으로 처리돼 긴급한 상황 전파 시에 사용이 되는 비상 연락 체계시스템이 붕괴된다. 이러한 공격을 군 관련 요직 인사들에게 적용 시 군의 긴급 상황에 적절한 보고 체계 및 지휘체계의 운영이 불가능해 심각한 문제가 발생 할 수 있다.
A씨는 △사용자 직급 및 업무별 휴대·집·직장 전화번호 작성 △VoIP 시스템을 구축, 자동으로 송신·차단을 반복하도록 구축 △타 시스템을 공격하거나 긴급 사안을 발생 시기에 연락망 붕괴 공격 시작 등의 순서로 군 연락망 무력화 해킹 공격이 가능하다고 설명했다. 이 공격이 실제 시연된다면 경계태세 상향 조정, 주요 기반 시스템 해킹 공격, 일부 지역에 대한 국지적 도발 사태 등에 즉각 대응이 불가능하다.
A씨는 “개인정보보호법에서 주민번호, 여권번호, 운전면허번호 등 주요 식별번호는 암호화, 마스킹 등으로 반드시 보호해야하는 대상이지만 주소와 전화번호는 그대로 노출되는 경우가 많다”며 “국가안보를 책임지는 군 관계자들의 주소 등은 반드시 암호화 처리해 식별할 수 없도록 해야한다”고 지적했다.
이에 대해 국방부 관계자는 “실제 군에서 지정번호 할인 등으로 군인들끼리 편리하게 사용할 수 있도록 사용하는 휴대전화 번호가 있다”며 “하지만 개인정보 유출을 우려해서 몇 년전 가입서류 작성시 자세한 개인정보는 기재하지 않는 방향으로 정책이 바뀌었다”고 말했다. 그는 또 “개인적으로 휴대전화 가입하는 것까지 군에서 간섭하는 게 아니기 때문에 개인정보 유출 가능성이 없다고 장담할 수는 없다”면서 “주요 군 관계자의 개인정보는 유출 가능성을 사전 차단하도록 더욱 주의할 것”이라고 덧붙였다.
장윤정기자 linda@etnews.com