블랙요원(정보기관 비밀 요원)의 신상을 유출한 혐의를 받는 국군정보사령부(정보사) 소속 군무원이 자신의 노트북 컴퓨터가 해킹을 당한 것이라고 주장한 데 대해 ‘해킹은 기록이 남는다’는 반박이 나온다. 기자가 만난 사이버 보안 전문가들은 “해킹 툴(프로그램)을 통해 정보를 빼낼 텐데, 해킹 툴을 짤 땐 해킹할 디바이스(노트북 등 기기)에 대한 정보까지 다 빼 오게끔 만든다”고 했다.
앞서 7월 30일 국회 정보위원회 간사(국민의힘 이성권·더불어민주당 박선원)들은 군 당국의 업무 보고를 받고 이번 사건과 관련해 “해킹은 아니었다”라고 분명히 했다. 다만 자세한 내용에 대해선 사건이 수사 중인 점, 국가 안보와 관련된 점 등을 들어 말을 아꼈다.
전문가들에 따르면, 북한은 개인의 컴퓨터에서 해킹한 자료에 대해 ‘정말 한국의 기밀 자료인지’를 검증한다고 한다. 해킹을 하는 것과, 해킹한 정보로 움직이는 것도 투자를 하는 것이기 때문이다. 따라서 북한 해커들은 반드시 ‘이 정보는 어느 주소에서, 어느 사람의 어느 컴퓨터에서 가져온 게 맞다’라고 하는 정보를 함께 보고한다.
사이버작전사령부 고위 관계자를 지낸 A씨는 7월 31일 기자와의 통화에서 ‘군 내부망(網)에 악성 코드를 심어놓으면 해킹이 가능한 것 아니냐’는 물음에 “쉽지 않을 것”이라고 대답했다. 기밀 유출 혐의를 받는 군무원은 정보사 군 간부 출신이며 전역 후 군무원으로 재취업한 것으로 알려졌다. A씨도 그와 마찬가지로 전역 후 관련 공직을 지낸 바 있다. 그의 얘기다.
“만약에 정보사 내부망에 악성 코드를 심었다면 정보사 시스템에 큰 문제가 있는 거죠. 그런데 그렇게 민감한 정보는 그걸 별도로 관리하고 있는 조직들이 있고, 전용망이 완전히 따로 분리돼 있거든요. 다른 쪽에서는 접근도 못 하는 정보사 내부의 별도 망이 있습니다.”
일일이 옮겨 적었을 가능성
A씨는 또 “군에서 블랙요원의 기밀 등급은 굉장히 높다”며 “개인 노트북은 (영내로) 갖고 들어갈 수 없다”고 했다. 이어 “실제로 (군) 내부망 등에는 저장 매체 통제 장치가 다 설치돼 있다”며 국가 기밀 정보는 구조적으로 외부의 노트북 등으로 자료를 이동할 수 없다고 했다. 그러면서 “DRM(접근 제한 프로그램) 같은 게 있다”고 덧붙였다. 해당 군무원의 노트북에 들어 있던 블랙 요원 관련 정보는 정보사 내부 컴퓨터에 있던 보안 자료였다. 정보사 소속 블랙 요원들은 주로 대북 관련 임무를 수행하는 것으로 전해진다. A씨에게 물었다.
― 블랙요원 정보를 취급했던 사람이라면, 어떤 방법으로든 해당 정보를 자기 노트북에 저장할 수도 있지 않나요.
“쉽지 않습니다. 그런 정보의 DRM을 풀려면 보안 담당자 승인이 있어야 하고 기록(로그 기록‧누가, 언제 어떻게 시스템에 접근해서 무엇을 했는지 자동 저장되는 기록)도 남게 됩니다. (이번에 누출된) 그 기록은 삭제할 수 없는 구조거든요. 설령 승인을 받아 DRM을 풀었더라도, 그걸 다른 저장 매체에 저장하려면 그 망 안에서 또다시 승인을 받아야 하거든요.”
― 그럼 어떻게 해야 이런 일이 벌어질 수 있는 건가요.
“저도 내용을 보면서 ‘어떻게 그렇게 (정보가) 나왔지’ 했는데, 예전에 한때는 (군) 내부에서 하루에 한 건씩 출력되거나 거기서 본 걸 기억하고 밖에 나가서 입력하고 장기간에 걸쳐서 한다고 하면 시스템상 허점이 없어도 (정보 유출을) 할 수 있겠죠. 출력물, 그리고 화면을 보고 (블랙요원) 한 사람씩 기억하고 밖에 나가서 자기 거(PC)에 입력하고. 다음에 또 본 걸 밖에서 (개인 컴퓨터에) 쳐놓고. 그렇게 한다고 하면요. 내가 그 부분(블랙요원 정보)을 알고 싶다고 생각을 한다면, 한 사람씩만 보고 (기억해서 개인 컴퓨터에 입력)하면 몇 달만 해도 되고요.
관련 전문가들에 의하면, A씨가 가정한 사례는 예전부터 꽤 있었다고 한다. 영내에서 본 정보를 외워서 외부에 반출한 경우였다. 다시 A씨에게 물었다.
― 그 사이에 블랙요원이 바뀔 수도 있는 것 아닌가요.
“그 사람들(블랙요원)이 자리 바뀌는 건 한 번 들어가면 몇 년 동안 바뀌지 않고 (활동)하기 때문에 한 번 (블랙요원으로 해당국에) 들어가면 10년, 20년 이렇게 있거든요. 그렇게 (자주) 바뀌거나 변경되지 않기 때문에 그 지역 어학 인재나 이런 사람들을 선발해서 (해당국에) 내보내고 하기 때문에 잘 바뀌진 않습니다.”
또 다른 보안 전문가는 “조사 기법을 통해 보면, 일단 그게 해킹으로 넘어갔다면 기기 정보도 같이 넘어가는 경우가 많다”며 “메일 주소라든가, 기기 정보라든가. 그러면 나중에 그 자세한 내용이 나온다”고 했다. 그러면서 “해킹이나 원격 조종 등의 형태로 이게(블랙요원 정보) 넘어갔다면 관련된 백그라운드 정보가 같이 있을 것”이라고 귀띔했다.
“접근 권한 강화해야”
이처럼 해당 군무원이 블랙 요원의 신상 관련 자료들을 조금씩 기억해서 자신의 컴퓨터에 입력한 것이라면 사이버 보안 조치를 아무리 강화해도 무용지물이다. 해킹 방어 체계를 아무리 촘촘하게 구축해 놓아 봤자 영내(營內) 출력물 등을 눈으로 보게 되는 이상, 머릿속에 넣어 가면 그만이기 때문이다. 그러나 온갖 경우를 가정하더라도, 결국 민감 정보에 대한 접근 권한을 강화해야 한다는 결론이 나온다는 게 전문가들의 시각이다.
7월 31일 서울의 한 사무실에서 만난 김창훈 대구대학교 정보보호학과 교수는 “블랙 요원 관련 정보가 C 등급이라고 가정하면, C 등급에 맞게끔 물리적으로 분리해야 하는 건 물론이고 정보에 접근할 때 ‘크로스 도메인(외부 인터넷 주소 호출 차단)’ 조치가 돼 있어야 한다”고 했다. 김 교수는 국가정보원이 운영하고 있는 ‘국가전산망 보안정책 개선 TF(임시 조직)’에 소속돼 있다. 국정원에서 기술 담당 평가위원 및 평가지표 분과장을 지낸 그는 이번 사건에 대해 “인적 보안이 제대로 지켜지지 못한 사례인 것으로 보인다”고 분석했다. 김 교수에게 물었다.
― 인적 보안이 무엇인가요.
“민감 정보에 대한 접근 권한을 가진 사람이 그 데이터(정보)를 제3자에게 넘기는 걸 막는 거죠. 지금 군에서 일어난 사건을 보면 망 분리를 강화해야 할 것으로 보입니다.”
― 어떻게요?
“기존의 분리된 망 영역 안에서 누군가는 또 민감 정보에 접근해야 하는데, 그 접근 권한에 추가적인 조치를 취해야 한다는 거죠.”
한편 전하규 국방부 대변인은 8월 8일 정례 브리핑에서 해당 군무원의 대북(對北) 혐의점과 관련해 “군 수사기관에서 그 혐의를 포함해서 검찰로 송치했다”고 밝혔다. 이 군무원은 군사기밀보호법 위반 및 군(軍)형법 제13조 간첩, 동법 제14조 일반이적(利敵) 등의 혐의를 받는 것으로 알려졌다. 군형법상 간첩은 사형 또는 무기징역에 해당하는 중죄(重罪)다.