전장망 바이러스, USB로 전파된다

전장망 바이러스, USB로 전파된다
외장 메모리 사용 가능하면 물리적 분리도 소용없어

김동규 기자 ppankku@gmail.com

플로피 디스크는 오랜 시간 주요 정보 저장수단으로 군림했다. 그러나 2메가도 되지 않는 용량의 한계와 급속한 외부 저장매체의 발달로 자리를 빼앗긴 뒤 지금은 생산이 중단된 상태다. 그 빈자리를 한동안 시디나 디브이디가 차지했지만 요즘은 광디스크 롬을 설치하지 않고 출시되는 컴퓨터도 많다. USB 드라이브가 발달해 디브이디는 물론 최고 50기가 용량을 자랑하는 블루레이 디스크마저 USB 드라이브의 상대가 되지 않기 때문이다. 손톱만한 크기에 최고 65기가바이트까지 저장할 수 있는 USB는 이제 외부 저장매체의 제왕이 됐다. 동시에 USB는 전세계 국방 보안의 가장 큰 적으로도 여겨지고 있다.

.
.
.
.
.

국정감사가 한창이던 2012년 10월 8일, 안규백 민주통합당 의원은 국방망과 전장망 바이러스 감염 위협으로 인해 전시에 전장망 마비가 우려된다고 주장했다. 안 의원의 주장은 국방부가 제출한 자료가 근거인데 여기에 따르면 2012년 1월부터 4월까지 발견된 바이러스는 전장망 312건, 국방망 5,901건으로 전장망의 경우 2월과 3월에 집중적으로 바이러스가 발견됐다. 3월은 한미 연합 지휘소 연습인 키리졸브가 열렸던 달로 전장망에 바이러스가 퍼진 원인은 각종 전장망 장비의 사용량이 급증했기 때문인 것으로 보인다. 이러한 사실은 장비 사용량이 많아지는 전시에는 바이러스 감염이 더욱 급증할 것이라는 우려를 불러일으킨다. 안규백 의원은 보도자료를 통해 “전작권 전환 이후 실제적인 전쟁을 수행하는데 필수적인 전장망이 바이러스에 감염되어 있다는 것은, 한국군이 주도적인 작전을 수행함에 있어 매우 심각한 문제를 내포하고 있는 것이다”고 우려하기도 했다.

전장망은 모든 망과 물리적으로 분리된 폐쇄망으로 웹접속이 불가능해 바이러스는 외부 저장매체를 통해 유입될 수밖에 없다. 국방부도 전장망 바이러스 감염경로에 대한 질문에 “국방정보통신망은 국방망, 전장망, 인터넷이 각각 물리적으로 분리돼있어 국방망 자료를 전장망으로 이동할 때 바이러스에 감염된다”고 설명했다. 또 유독 훈련기간에 바이러스가 급증하는 이유에 대해서도 “전장망 특성상 훈련시 PC 사용률이 증가하며 국방망과 자료교환을 위해 저장매체 사용율이 증가함에 따라 훈련기간에 바이러스가 많이 발생한다”고 밝혔다. 국방부의 설명대로라면 국방부가 관리하는 각종 망은 결국 물리적으로 완벽하게 분리돼 있지 않다는 말이나 마찬가지다. 국방망의 정보를 전장망으로 옮길 수 있다면 거꾸로 전장망의 정보도 마음만 먹으면 국방망으로 옮기는 것이 가능하기 때문이다. 

감염 여지 활짝 열려있는 국방정보통신망 

국방부가 안규백 의원실에 제출한 자료에 따르면 국방망과 전장망에 바이러스가 유입되는 경로는 두 망이 USB를 통해 자료를 교환하는 과정 외에도 여러 가지가 있다. 우선 국방망은 인터넷망과 자료교환체계를 통해 연결돼 있는데 이를 통해 국방망에 바이러스가 유입될 가능성이 있다. 또한 국방망과 전장망에는 USB나 시디를 이용하는 게 가능한데, 이 과정에서도 바이러스가 유입된다고 한다. 각 망은 오프라인 PC와의 USB 교류도 가능하다. 망이 물리적으로 분리돼 있긴 하지만 결국 외부 저장매체를 통해 자료를 주고받기 때문에 감염의 여지는 활짝 열려있는 것이다. 

국방부 사이버방호팀 관계자에 따르면 지금까지 밝혀진 바이러스는 숫자가 많을 뿐 백신 소프트웨어가 완벽하게 잡아낸 것들이라고 주장한다. 그는 또 민간에서 사용하는 백신은 USB를 삽입했을 때 모든 파일을 정밀검사하지 않는 반면 국방부 백신은 USB가 얼마나 많은 내용을 담고 있건 모든 파일을 정밀검사한 뒤에야 사용할 수 있기 때문에 안전도가 높다고 설명했다. 이 관계자는 “지금까지 검출한 바이러스들도 게임 계정 유출을 시도하는 수준이라 전장망에 치명적인 영향을 주지 않을뿐더러 전장망을 목표로 한 바이러스 공격도 없었다”며 국방정보통신망이 바이러스로부터 안전함을 강조했다.

그러나 이 같은 설명에 대해 한 민간보안전문가는 “백신이 잡지 못 하는 신종 바이러스도 분명히 존재하기 때문에 확신은 금물”이라고 경고했다. 그는 “모든 바이러스를 100% 잡는 백신은 세상에 존재하지 않는다”며 “군에서 외장 저장매체를 완전히 없애지 않는 이상 위험은 언제나 도사리고 있는 것”이라고 주장했다. 국내 백신제작 업체들은 카스퍼스키나 시만택 등 세계 유수의 백신업체들에 비해 기술력이 뒤떨어지는 것으로 알려져 있다. 때문에 이란 핵시설을 공격했던 스턱스넷이나 이란 정부 컴퓨터에 수년 간 잠복하며 감시활동을 벌인 플레임 같은 정교한 신형 바이러스를 잡아내기는 어려울 것이라는 우려도 나오고 있다.

외부 저장매체를 완전히 차단하지 않는 한 국방정보통신망은 언제나 위협에 노출돼 있는 것이다. 외부 저장매체의 위험성은 해외 사례에서도 찾을 수 있다.

사이버사진3. 사이버사령부.jpg
각종 네트워크로 연결된 현대 전장은 사이버 보안이 매우 중요하게 여겨진다.


미 연방 기관 직원들, “이건 뭐지?” 하다가… 

국방부로 출근하던 김 중령. 주차장에 차를 세우고 내렸는데 발에 뭐가 밟혔다. 뭔지 확인하니 국방부 마크가 찍힌 USB다. 주인을 찾아주기 위해 내용물을 확인하려 사무실 국방망 컴퓨터에 꽂아봤지만 안에는 아무 내용도 없었다. 바이러스 검사에도 아무 것도 걸리지 않았다. 김 중령은 누가 실수로 흘린 것 같아 별로 신경 쓰지 않고 아침보고를 떠났다..... 그 사이 USB에 녹아있던 치명적인 신형 바이러스는 국방망을 잠식하고 있었다. 문제는 그날 USB를 습득한 사람이 김 중령뿐만이 아니었다는 점이다. 수백 명의 군인들이 전국 곳곳에서 USB를 주웠고 모두 컴퓨터에 삽입해 내용물을 확인했다.    

위 사례는 미 국토안보국이 수행한 어떤 실험을 토대로 한국 상황에 맞게 재구성한 픽션이다. 불가능해 보이는 상황이지만 2003년부터 2008년까지 미 육군 최고정보책임자로 근무했던 스티븐 부텔 예비역 소장이 미국의 한 언론에서 밝힌 실험을 보면 충분히 있을만한 일이란 것을 알 수 있다. 

2011년 미 국토안보국은 USB를 통한 정부망 침투가 실제로 가능한지 실험하기 위해 실험 요원이 비밀리에 여러 연방 기관의 주차장에 USB를 뿌렸다. 결과는 참담했다. 호기심에 USB를 집어든 직원들의 60%가 정부망이 연결된 컴퓨터에 이를 삽입했다. 국토안보국의 또 다른 실험에서 USB에 정부가 인증한 것처럼 보이는 로고를 찍었을 때는 90%의 직원이 이를 컴퓨터에 삽입했다고 한다. 2008년 미군의 1급 비밀망인 SIPRNET을 공격한 악성코드도 이러한 과정을 통해 침투했을 가능성이 높은 것으로 알려져 있다.

2008년 11월초, 두 개의 전쟁으로 바쁜 나날을 보내던 미 중부군사령부의 중앙네트워크망에 ‘agent.btz'란 이름의 웜 바이러스가 침투했다. 이 웜은 스스로를 외부 저장매체에 복제하며 감염된 저장매체가 다른 컴퓨터에 삽입되면 그 컴퓨터로 자신을 또 복제했다. 당시 사이버공격에 정통한 미군 관계자는 “이 바이러스는 매우 공격적이며 중국에서 온 것으로 보이나 정부 차원의 공격인지 개인 해커의 소행인지 알 수는 없다”고 밝힌 바 있다. 미 국방부는 즉시 바이러스 제거뿐만 아니라 시디, 외장 하드, USB메모리 등 모든 외장 저장매체의 사용금지 조치를 내렸다. 당시 미 전략사령관이 내부망을 통해 전파한 이메일에 따르면 외장 저장매체 사용금지 지침은 비밀망인 SIPRNET 뿐만 아니라 일반보안망인 NIPRNET에도 적용되는 것이었다. 지금도 미군은 외장 저장매체의 사용을 강력히 통제하고 있다.

2012년 9월 30일에는 인도군도 군사재판까지 언급하며 외부 저장매체에 대한 통제를 강화했다. 이미 USB 메모리 등의 사용을 통제하고 있던 인도군이 이 같은 방침을 내놓은 이유는 각종 보안사고의 70%가 인가받지 않은 USB의 사용 때문인 것으로 드러났기 때문이다. 한 인도군 관계자는 인도 언론과의 인터뷰에서 “대부분 중국에서 생산된 이러한 USB 메모리들은 우리 군의 사이버 보안에 중대한 위협으로 급부상하고 있다”며 통제강화 조치가 불가피한 선택이었음을 알렸다. 인도군은 민감한 군 통신망을 해킹으로부터 보호하기 위해 최신 사이버 보안 지침도 발표했다. 이 지침에서는 군인들이 공적인 자료를 개인 컴퓨터나 외부 저장매체에 저장하지 말 것을 경고했고 이를 어길 시 군사재판까지 회부될 수 있다고 강조했다.   

사람도 믿을 수 없다

2012년 10월 25일 이스라엘 경찰에서도 사이버 공격을 의심해 모든 컴퓨터를 웹으로부터 분리하고 외장 저장매체 사용을 당분간 금지시켰다. 트로이 계열로 보이는 바이러스가 내부 정보를 어딘가로 보내는 정황이 포착됐기 때문이다. 이스라엘 경찰이 외장 저장매체의 사용까지 금지시킨 이유는 바이러스의 출처를 외부로 판단했기 때문인 것으로 보인다. 9월초 러시아 백신업체 카스퍼스키가 발견한 가우스 바이러스는 USB를 통해 전파될 뿐만 아니라 감염 컴퓨터의 숨겨진 정보를 따로 저장할 목적으로 USB를 이용하는 것도 가능하다고 한다. 

한국군에서도 USB 보안사고가 보고된 바 있다. 지난해 9월 11일 오산에 위치한 공군기지에 있는 지휘통제체계(AFCCS) 단말기와 자료교환용 USB에서 웜 바이러스가 발견됐다. 당시 공군이 조사한 결과 바이러스는 오산기지 내 37전술정보전대의 항공정보공유체계(AISS) 단말기에서 나온 것으로 밝혀졌다. AISS는 U-2 정찰기 등 미군의 정보감시자산이 획득한 정보를 한국 공군과 공유하는 데 사용하는 장비로 AFCCS와 직접 연동되지 않아 하루 6번 USB를 이용해 자료를 옮겨야 했다. 자료를 옮기는 과정에서 USB에 묻어온 바이러스가 AISS와 AFCCS로 퍼진 것이다. AISS가 미 7공군도 함께 이용하는 장비라 미군 측의 감염 여부에도 관심이 모였지만 국방부는 “AISS는 전장망과 별도로 운용되는 독립체계이고 바이러스 탐지와 치료가 완료돼 미측 장비로 유입된 흔적은 발견되지 않았다”고 해명했다. 

이러한 USB의 위험성은 바이러스 감염에 그치지 않는다. 올해 1월 14일 스파이 혐의로 캐나다 경찰에 체포된 제프리 폴 드라일 해군 중위 사건을 보면 아무리 보안이 철저해도 USB는 한계가 있다는 점을 여실히 드러내준다.

캐나다 연방경찰의 수사결과에 따르면 드라일 중위는 2007년 오타와에 소재한 주캐나다 러시아대사관에 자발적으로 찾아가 군사기밀을 넘길 테니 돈을 달라고 제안했다. 이에 응한 러시아 대사관과 드라일은 4년간 정보를 주고받았다. 드라일 중위가 군사정보를 넘긴 대가로 받은 돈은 겨우 한 달에 3,000달러 정도였다고 한다. 핼리팩스의 트리니티 해군기지에 주둔 중인 경계부대에서 캐나다 영해로 들어오는 선박을 위성과 무인항공기, 해저 탐지기 등으로 추적하는 임무를 맡은 드라일 중위는 임무에 관련된 정보를 USB에 담아 러시아로 넘겼다고 한다. 그는 인가받지 않은 USB를 이용해 마치 정보를 수확하듯 이 컴퓨터 저 컴퓨터를 옮겨 다니며 정보를 수집했다. 정보유출에 이용한 USB는 파괴하거나 아들의 비디오게임기 X-Box의 메모리로 재사용하며 증거를 은폐했다. 드라일 중위는 현재 모든 죄를 인정한 상태다.  

드라일.jpg
군사기밀을 러시아에 팔아넘기다 적발된 드라일 캐나다 해군 중위


USB 필요 없는 환경 구축해야 

물론 드라일 중위의 사례는 극단적인 경우에 속한다. 군사기밀 유출의 위험성을 제대로 알고 있는 군인이라면 웬만해선 수행하기 힘든 범죄다. 그러나 사람이라면 누구나 실수를 하기 마련. 미 국토안보국의 실험처럼 자기도 모르는 사이 군사기밀을 유출하는 데 일조하게 될지도 모른다. 2009년 11월 발생한 작전계획 5027 설명자료 유출 사건도 연합사에 근무하던 한 영관급 장교가 USB에 11쪽 분량의 파워포인트 자료를 담는 과정에서 발생했으며 이 장교는 정보를 유출시킬 의도가 전혀 없었다고 한다. 이 사건 이후 2010년 국방부는 국방망과 인터넷망 사이에서 자료를 교환하는 서버를 구축했다. 

한 민간 보안전문가는 국방부가 소리없는 전쟁과도 같은 사이버 위협을 제대로 막아내기 위해서는 외장 저장매체가 아예 필요 없는 체계를 구축해야 한다고 지적했다. 국방부 사이버방호팀 관계자도 “바이러스 유입 및 확산의 주원인인 저장매체 통제대책을 강력하게 시행하고 있지만 향후 저장매체 없이 업무가 가능한 체계 구축을 검토할 것”이라고 밝혔다. 

미군의 경우 각종 망이 물리적으로 분리돼 있지는 않지만 철저한 보안을 통해 마치 평행우주처럼 논리적으로 망을 분리해 사용하고 있다. 겉보기에는 물리적 분리보다 위험한 것 같지만 외부 저장매체의 유입이 차단되고 자료를 주고받을 때마다 게이트를 열어 일종의 비화 시스템을 통해 보안을 유지하기 때문에 해커 같은 제3자가 개입할 여지가 적다. USB를 통한 자료이동보다 안전성이 높고 자료 유출의 책임 소재가 명백하다는 것이 장점이다. 

이러한 체계를 구축하는 데는 높은 기술력과 많은 비용이 들 것으로 예측된다. 그러나 아무리 많은 비용이 들어도 중요한 군사기밀이 외부로 유출되는 것보다는 적은 대가를 치를 것으로 보인다. 미국이 개발한 것으로 의심되는 스턱스넷과 플레임 바이러스의 등장에서 알 수 있듯 이제 바이러스는 국가 차원에서 개발하는 전략 무기와도 같다. 사이버전을 위한 전력 보강과 투자가 필요한 시점이다.   


Tag

Leave Comments


profile가진 거라곤 ‘안보의 민주화’에 대한 열정밖에 없던 청년실업자 출신. 〈디펜스21+〉에서 젊음과 차(茶)를 담당하고 있다. 

Recent Trackback