국가안보, 미사일과 정보유출 등으로 ‘위태위태’

북한, 단거리 발사체 2발 동해안에 발사...올 상반기만 벌써 12번째

올 상반기 재향군인회·국방연·주한미군사령부 개인정보 ‘싹쓸이’

[보안뉴스 김경애] 북한이 2일 오전 6시 50분과 8시경 동해안지역 일대에 단거리 발사체 각 1발씩 총 2발을 발사해 남북간의 긴장감이 고조되고 있다.

지난 29일에도 스커드 계열 사거리 500km 단거리 탄도미사일 2발을 발사, 동북쪽으로 180km를 날아가 북한 영해로 떨어진 적이 있다. 벌써 올 상반기에만 12번째다.

이러한 가운데 군 관련 개인정보 유출사고도 잇따라 발생하고 있어 사이버전장에서도 뭔가 심상치 않은 기운이 감돌고 있다.

지난 6월 5일 주한미군사령부가 민간인 인적자원국(CHRA) 한국인채용시스템(KNRS) 서버가 해킹돼 1만 6000명의 개인정보가 유출됐다고 밝힌 바 있다.

지난 5월 28일 데이터베이스에 해킹시도 정황을 보고받은 주한미군사령부는 “美 육군 한국인채용시스템에서 개인정보가 해킹당한 사실을 확인했다”며 “걱정과 불편을 끼쳐 드려 죄송하다”며 서신을 통해 사과했다. 또한 “주한미군은 매우 심각하게 사건을 받아들이고 있으며, 향후 유사사건 발생을 방지하기 위해 필요한 조치들을 취할 것”이라고 덧붙였다.

서버에 저장된 개인정보는 주한미군사령부의 퇴직자, 한국인 직원정보, 구직자의 이름, ID 번호 및 주소 등이다. 그러나 은행계좌 정보로 분류된 데이터는 노출되지 않았다는 것.

이와 관련 주한미군사령부 측은 “해당 시스템의 경우 미군 군사네트워크와 분리된 인적자원채용 시스템이기 때문에 금융이나 국방관련 정보 등은 유출되지 않았다”고 해명했다.

감염된 컴퓨터는 네트워크상에서 분리됐으며, 美 육군 범죄수사사령부(USACIDC) 컴퓨터 범죄수사대가 수사 중인 것으로 알려졌다.

이보다 앞서 지난 4월 15일에는 美 해외참전용사회(VFW) 관계자들의 개인정보가 유출된 사실이 세상에 드러났다. 특히 주목되는 건 유출사건이 일어난 시점이 우리나라 재향군인회 개인정보 유출과 국방과학연구소의 기밀문서 및 내부자 개인정보 유출 시점과 비슷하다는 것이다.

4월 10일 국방과학연구소의 기밀문서가 유출된 사실이 드러났기 때문이다. 유출된 기밀문서는 ‘점화안전장치 SS-965K 시험절차서’, ‘광대역 다중망 어자일신호 모의발생장치 제작종결보고서(이하 제작종결보고서)’, ‘정찰용 무인항공기 관련 위성데이터링크부체계 시험절차서’ 등이며, 이외에도 중요한 군 관련 정보가 들어있는 내부문서가 대거 유출됐다. 뿐만 아니라 구글 검색을 통해 군 관련 관계자들의 개인정보도 노출된 바 있다.

일각에서는 이번 군사기밀 유출방법이 ‘3.20 사이버테러’ 때와 비슷한 수법이 아니냐는 의혹이 제기되고 있다. 한 보안전문가는 “국방과학연구소의 내부 PC를 이용해 우회경로를 거쳐 PMS 서버에 접속한 후 컴퓨터에 악성코드를 심었을 수도 있다”며 “PMS 서버를 비롯한 그동안의 모든 접속기록을 분석해봐야 한다”고 강조했다.

▲ 2014년 상반기 군관련 정보유출 사고

지난 3월 16일에는 재향군인회에서 SQL 인젝션 취약점을 이용한 홈페이지 해킹으로 1만 3900여명의 개인정보가 유출됐다. 우리나라 군 고위직 출신을 비롯해 수백만의 회원을 보유하고 있는 재향군인회는 본회, 해외지회 13개국, 시·도회(13개), 직장지회, 친목단체(계급별 7개, 군별 3개, 임관 출신 18개, 병과 17개 등)로 구성돼 있다.

유출된 개인정보는 이름, 아이디(ID), 패스워드, 이메일, 전화번호, 회사전화번호, 핸드폰번호 등이다. 일각에서는 군 고위직을 지낸 일부 회원들을 타깃으로 우리나라 국방관련 정보 등 고급정보를 캐내기 위해 타깃공격을 시도했을 가능성을 제기한 바 있다.

이처럼 올해 상반기 군사적·정치적 목적을 위한 개인정보 및 데이터 탈취가 잇따라 발생하고 있다. 이를 두고 각 국가간의 ‘기 싸움’ 또는 사이버전 가능성을 언급했다. 이렇듯 미사일과 같은 무기뿐만 아니라 이제는 사이버무기를 활용한 공격이 증가하고 있어 국가안보를 위한 보다 체계화된 정보보호 대책 마련이 시급하다는 지적이다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)