2017.04.05 군 인트라넷 해킹을 통한 작전계획 5027 유출

1. 개요

• 지난해 군 인트라넷이 해킹된 사건과 관련해 전쟁 계획을 담은 '2급 군사비밀'이 유출되었음이 밝혀짐

2. 내용

• 뉴스관련 요약
• 2016년 9월 23일 신종 악성코드가 백신중계서버를 통해 다량 유포
• 감염된 컴퓨터는 모두 3,200여대로 국방망  PC는 700여대, 군 인터넷 PC는 2,500여대 등으로 파악
• 당시 국방부는 일부 비밀 자료가 유출됐지만 심각한 수준은 아니라고 해명
• '국방부 검찰단,기무사령부,국정원' 등 합동조사단의 해킹 사건에 대한 조사 결과 '작전계획(작계) 5027'이 유출된 사실이 확인됨
  ※ 작계 5027 : 북한의 선제공격과 우발적 도발 등에 대응한 한반도 전면전에 대비해 일자별 미 본토 병력 등의 증원 계획, 전투기와 전자전기 등 공군 증강계획, 항모와 이지스함 전개 계획 등 미군의 전시 증원 계획과 단위부대의 기동 및 화력계획, 장애물 설치 등의 지면계획이 담긴 핵심 작전계획
• 북한과의 전면전을 상정하고 만들어진 '작계 5027'의 일부가 유출되었기 때문에 작계 5027의 전면 또는 부분 수정이 불가피 할 것으로 보임
• 군 내부망 환경을 구축하고 있었지만, 관련자들이 두 망을 혼용해 사용한 것으로 알려짐
• 망분리 환경에서 백신 서버를 구성하는 경우, 망간 접점을 최소화하기 위해 망별로 백신서버를 개별 구축하는 것이 원칙이나, 내부망과 외부망에서 동일한 백신서버를 사용
• 국방부는 사건 이후 백신체계의 취약점을 보완하고, 운용 중인 PC를 전면 재 포맷하는 등의 조치 취함
• 북한의 해킹 요원은 중국이나 유럽에서 활동하며, 우리나라 주요 정보통신시설에 대한 평균 해킹 시도 건수는 일평균 140만건에 달함

• 타임라인
• 2016년 8월 4일 - 최초 침투
• 2016년 9월 23일 - 육해공군의 정보를 담은 계룡 국방통합데이터선터(DIDC)의 군 내부망과 외부 인터넷용 랜카드가 동시에 꼽혀 사용 중이던 백신 중계서버를 통해(국방부, 기무사, 방사청 등의 정보를 담당하는 용인센터는 해당사항 없음) 대량의 악성코드가 군 인트라넷에 침투(인터넷용 컴퓨터 2,500여대와 인트라넷용 컴퓨터 700여대)
  ※ 2년 전 해당 센터를 구축하는 과정에서 용역 업체 직원이 국방망에 필요한 프로그램 설치를 위해 인터넷망을 연결했다가 이를 끊지 않고 철수해 2개 망이 연결되는 접점이 생김
• 2016년 9월 25일 - 국가정보원,합동참모본부,사이버사,기무사,국방조사본부 등 6~7개 기관에서 30여명의 인력을 파견 받아 합동조사팀을 구성하고 조사착수
• 2016년 12월 15일 - '국방통합데이터센터(DIDC) 백신중계서버 해킹'과는 별도로 합참 및 특전사 장교 7명이 규정을 어기고 국방망과 인터넷망이 연결된 PC에서 군사기밀이 포함된 문서를 작성한 것을 발견
• 2016년 12월 23일 - 국방부 검찰단에서 수사 TF를 구성해 군과 관련기관, 민간업체에 대한 수사 시작
• 2017년 4월 4일 - 2016년 9월의 해킹 사건을 통해 작계 5027 유출 KBS 보도