우리 군이 접경 지역에 설치한 고성능 CCTV가 중국의 악성 코드에 노출되도록 사전 설계된 것으로 26일 나타났다. 핵심 부품을 납품한 중국 업체가 악성 코드 유포 사이트로 접속되도록 제품 내부에 설정해놓은 것이다. 우리 군의 감시 장비가 외부 세력의 악성 코드에 감염될 가능성에 노출된 것이다. 다만 CCTV 가동 전에 군이 실시한 점검에서 이 같은 사실이 드러나 실제 정보가 유출되지는 않았다.
국민의힘 하태경 의원실이 국방부에서 받은 ‘해·강안 경계 시스템 점검 결과’에 따르면, 최근 우리 군이 도입한 CCTV 215대 전체가 중국의 악성 코드 유포 사이트로 접속되게끔 IP(인터넷 주소)가 설정된 것으로 드러났다. 중국 업체가 조립 과정에서 임의로 IP를 설정한 뒤 국내에 납품한 것이다. 설정된 서버의 위치는 중국 베이징이었고, CCTV가 접속되도록 한 사이트는 다수의 악성 코드를 배포했던 곳이었다.
중국 업체가 우리 군 감시 장비를 악성 코드 감염 위험에 고의로 노출시킨 것인지는 확인되지 않았다. 우리 군은 장비에 설정된 중국 IP를 삭제하는 등 긴급 조치에 착수했다. 하 의원은 “현재 운용 중인 군 감시 장비들에 대해 전수(全數)조사에 착수해야 할 것”이라고 했다.
軍 CCTV 원격접속 가능… 중국에 영상 유출될 수도
우리 군이 도입한 CCTV 시스템이 중국으로 정보가 유출될 수 있도록 설계된 것으로 드러나면서 파장이 커지고 있다. 국방부는 26일 “납품받은 CCTV 시스템에서 이 같은 사실이 발견돼 긴급 조치하고 있다”며 “감시 장비는 아직 가동되지 않아 실제로 군사 기밀이 유출되지 않았다”고 했다. 하지만 야당은 “군사안보지원사령부가 실시한 해안 경계 시스템에 대한 조사 결과, 곳곳에서 보안 취약점이 드러났다”고 비판했다.
안보지원사령부의 경계 시스템 취약점 점검 결과에 따르면, 중국의 핵심 부품을 사용한 215대의 CCTV 전체가 중국의 악성 코드 유포 사이트로 접속되도록 설정되어 있었다. 이 사이트를 통해 악성 코드가 유입되면 군 영상 정보가 중국 등 외부로 통째 유출될 수 있다는 의미다. 또 우리 군의 CCTV 시스템은 원격으로 접속 가능하도록 돼 있었다. 비(非)인가자가 감시 시스템에 침입할 수 있다는 것이다. 영상 정보의 저장 경로도 이동식 메모리(USB) 등의 다른 장치로 바꿀 수 있었다. 누가, 무슨 목적으로 이를 설치해 놓았는지는 확인되지 않았다. 임종인 고려대 정보대학원 교수는 “개별 CCTV를 관리하는 시스템이 악성 코드에 감염된다면 우리 군의 전체 감시 체계가 통제⋅조작⋅왜곡될 수 있다”고 했다.
육군은 국내 업체와 CCTV 납품 계약을 했지만, 이 업체가 핵심 부품으로 중국산(産)을 사용했다는 사실이 뒤늦게 드러났다. 무늬만 국산일 뿐 시스템 설계나 부품이 모두 중국산이었던 것이다. 야당은 “감시 장비가 악성 코드 유포 사이트로 연결되도록 한 것 자체가 ‘악성 코드 감염’이나 다름없다”고 했다.
미국 정부는 중국의 화웨이(華爲) 통신 장비에서 광범위한 정보가 수집돼 중국 정부로 유출됐을 가능성이 있다고 문제 제기를 해왔다. 지난달 미 국무부 관계자는 “화웨이는 중국 공산당 감시 국가의 도구”라며 “지식 재산을 훔치는 도둑이자 인권 침해의 조력자이며, 데이터 보안에도 큰 위험을 끼친다는 데 의문의 여지가 없다”고 말했다.
우리 군은 “중국산 부품 사용에 따른 직접적인 보안 취약점은 발견되지 않았다”는 입장이다. 육군본부는 이날 “이번 사업은 (CCTV가) 단독망으로만 연결되어 외부로 군사 정보가 유출될 가능성은 없다”고 했다. 하지만 군 안팎에서는 “정보 유출 위험을 배제할 수 없다. 이번 논란으로 미국이 우리 군과 정보 공유를 꺼릴 수 있다”고 우려했다. 국민의힘 하태경 의원은 “중국 정부가 직접 개입됐는지는 확인되지 않았다”고 했다.