국방부가 민간기업 LG CNS와 하우리를 상대로 50억원의 손해배상을 청구한 '국방망 해킹사고' 관련 소송에서 패소했다.
국방망 해킹사고는 4년 전 북한 해커로 추정되는 세력이 우리 군의 기밀 문서를 탈취한 사건이다. 해커는 군 전산시스템에 구축된 하우리 백신의 업데이트 파일로 위장된 악성코드로 외부망을 감염시키고 LG CNS가 구축한 국방통합데이터센터(DIDC)의 내·외부망 접점을 통해 내부망 PC에까지 침입했던 것으로 드러났다.
국방망 해킹사고는 4년 전 북한 해커로 추정되는 세력이 우리 군의 기밀 문서를 탈취한 사건이다. 해커는 군 전산시스템에 구축된 하우리 백신의 업데이트 파일로 위장된 악성코드로 외부망을 감염시키고 LG CNS가 구축한 국방통합데이터센터(DIDC)의 내·외부망 접점을 통해 내부망 PC에까지 침입했던 것으로 드러났다.
27일 서울중앙지방법원 제16민사부는 이 사건 1심 재판에서 "원고의 청구를 모두 기각한다"며 "소송비용은 원고가 부담한다"고 판결했다.
소송의 발단은 지난 2016년 9월 군 내부망(국방망)에서 발견된 해킹 흔적이었다. 군의 조사 결과 업무용 인터넷망(외부망)·국방망·작전용 '전작망', 3개 전산망 가운데 인터넷망과 국방망이 해킹을 당하고, 한미연합군 대북 군사작전계획 등 다수의 군사기밀 문서를 북한 해커로 추정되는 세력에게 탈취당한 것으로 드러났다.
당시 국방부는 "해커가 취약점을 이용해 인터넷 백신 중계서버에 침투해 악성코드를 유포했고 (DIDC 내부의) 연결접점을 찾아 국방망으로 침투했다"고 설명했다. 국방부는 군사기밀 문서 등 자료유출이 발생한 이후 국방부의 악성코드 감염 PC를 포맷하고 운영체제를 재설치하는 사후 조치를 진행했다.
이후 국방부는 민간 기업들이 해킹사고의 원인을 제공했다고 판단하고 LG CNS와 하우리에 50억원의 손해배상을 청구하는 소송을 제기했다. 50억원은 국방부가 해킹사고 후 업무용 PC 포맷과 소프트웨어 재설치 용역을 위해 필요하다며 산정한 비용이다.
LG CNS가 지난 2015년 구축한 DIDC 내의 관제업무용 PC에 내부망과 외부망이 함께 연결('망 혼용')돼 있었다. 이는 해킹 당시 외부망 PC에 침입한 해커에게 내부망으로 접근을 허용하는 통로 역할을 했다. 국방부는 DIDC를 구축한 LG CNS에 앞서 연결접점이라 표현된 '내·외부망 혼용'의 책임이 있다고 여긴 것으로 보인다.
국방부는 또 재판에서 하우리가 지난 2015년 유출당한 백신 중계서버의 전자서명용 '비밀키'때문에 보안취약점을 노출하고 있었고, 이 때문에 2016년 해킹사고에서 해커가 악성코드를 백신 업데이트파일로 위장해 유포할 수 있었다고 주장했다. 하지만 이에 대해 하우리 측은 자사의 키가 유출됐다는 증거는 발견되지 않았다고 반박해 왔다.
결국 재판부는 국방부가 펼친 주장을 받아들이지 않았다. 4년 전 군사기밀 문서 탈취를 당하기까지 진행된 해킹사고의 피해에 대해 국방부가 50억원의 손해배상액수를 산정하고 이를 LG CNS와 하우리에 청구한 논리에 설득력이 부족하다고 본 것이다.
오늘 재판부 선고를 통해 LG CNS와 하우리는 손해배상 책임을 일단 벗었다. 소송 절차가 시작된지 만 2년 10개월만이다.
아직 국방부가 1심 판결에 불복하고 항소할 가능성은 남아 있다. 항소 여부와 관련해 국방부 관계자는 판결문 내용을 분석하고 내부 논의를 거쳐 항소 여부를 결정할 것이라고 밝혔다.
김희천 하우리 대표는 판결 선고 후 "이 소송의 계기가 된 해킹사건 발생 책임은 공공기관에 있다"며 "국방부가 보안에 안이하게 대처했고 해킹사고 발생 이후에도 그에 대처할 컨트롤타워가 작동하지 않았던 일종의 인재"라고 주장했다.
김승주 고려대학교 정보보호대학원 교수도 이 사건에서 납품 제품의 문제나 구축 결과물을 잘 검수하지 못한 군의 책임이 더 크다고 지적했다. 이런 문제를 줄이기 위한 과제인 여러 군 조직간의 명확한 업무분장과 컨트롤타워 구축은 국내서도 수년간 진전돼왔지만, 여전히 미국과 같은 주요 선진국보다는 미흡하다고 덧붙였다.
소송의 발단은 지난 2016년 9월 군 내부망(국방망)에서 발견된 해킹 흔적이었다. 군의 조사 결과 업무용 인터넷망(외부망)·국방망·작전용 '전작망', 3개 전산망 가운데 인터넷망과 국방망이 해킹을 당하고, 한미연합군 대북 군사작전계획 등 다수의 군사기밀 문서를 북한 해커로 추정되는 세력에게 탈취당한 것으로 드러났다.
당시 국방부는 "해커가 취약점을 이용해 인터넷 백신 중계서버에 침투해 악성코드를 유포했고 (DIDC 내부의) 연결접점을 찾아 국방망으로 침투했다"고 설명했다. 국방부는 군사기밀 문서 등 자료유출이 발생한 이후 국방부의 악성코드 감염 PC를 포맷하고 운영체제를 재설치하는 사후 조치를 진행했다.
LG CNS가 지난 2015년 구축한 DIDC 내의 관제업무용 PC에 내부망과 외부망이 함께 연결('망 혼용')돼 있었다. 이는 해킹 당시 외부망 PC에 침입한 해커에게 내부망으로 접근을 허용하는 통로 역할을 했다. 국방부는 DIDC를 구축한 LG CNS에 앞서 연결접점이라 표현된 '내·외부망 혼용'의 책임이 있다고 여긴 것으로 보인다.
국방부는 또 재판에서 하우리가 지난 2015년 유출당한 백신 중계서버의 전자서명용 '비밀키'때문에 보안취약점을 노출하고 있었고, 이 때문에 2016년 해킹사고에서 해커가 악성코드를 백신 업데이트파일로 위장해 유포할 수 있었다고 주장했다. 하지만 이에 대해 하우리 측은 자사의 키가 유출됐다는 증거는 발견되지 않았다고 반박해 왔다.
결국 재판부는 국방부가 펼친 주장을 받아들이지 않았다. 4년 전 군사기밀 문서 탈취를 당하기까지 진행된 해킹사고의 피해에 대해 국방부가 50억원의 손해배상액수를 산정하고 이를 LG CNS와 하우리에 청구한 논리에 설득력이 부족하다고 본 것이다.
오늘 재판부 선고를 통해 LG CNS와 하우리는 손해배상 책임을 일단 벗었다. 소송 절차가 시작된지 만 2년 10개월만이다.
아직 국방부가 1심 판결에 불복하고 항소할 가능성은 남아 있다. 항소 여부와 관련해 국방부 관계자는 판결문 내용을 분석하고 내부 논의를 거쳐 항소 여부를 결정할 것이라고 밝혔다.
김희천 하우리 대표는 판결 선고 후 "이 소송의 계기가 된 해킹사건 발생 책임은 공공기관에 있다"며 "국방부가 보안에 안이하게 대처했고 해킹사고 발생 이후에도 그에 대처할 컨트롤타워가 작동하지 않았던 일종의 인재"라고 주장했다.
김승주 고려대학교 정보보호대학원 교수도 이 사건에서 납품 제품의 문제나 구축 결과물을 잘 검수하지 못한 군의 책임이 더 크다고 지적했다. 이런 문제를 줄이기 위한 과제인 여러 군 조직간의 명확한 업무분장과 컨트롤타워 구축은 국내서도 수년간 진전돼왔지만, 여전히 미국과 같은 주요 선진국보다는 미흡하다고 덧붙였다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지