무기체계 SW 보안성 검증했더니..기본도 안지켰다

소스코드 내 암호키 노출돼 해커가 계정획득 후 정보 탈취 우려

군이 사용하고 있는 무기체계 소프트웨어(SW) 보안이 위험수준인 것으로 드러났다. 무기체계 SW 소스코드와 주석문, 설정파일 내 관리자 계정정보가 그대로 노출됐다. 해커가 해당 SW를 리버싱하면 무기체계 계정을 탈취, 마음대로 조정한다. 일부 무기체계는 악성코드에 감염됐는데 오작동 가능성 때문에 치료도 하지 못한 채 사용하고 있다.

국군기무사령부 정보보호인증센터는 실제 무기체계 SW를 대상으로 두 번에 걸쳐 보안성 시범 검증을 했다. 정보보호인증센터는 최근 서울 용산 전쟁기념관에서 열린 제5회 방산보안 워크숍에서 관련사례를 지적했다. 검증 결과 무기체계에 들어간 SW가 기본 보안 요소도 지키지 않은 사례가 다수 발견, 충격을 안겼다.

차세대 전투가 F35는 18만2000라인의 SW가 들어갔다. 전체 기능 중 90%를 소프트웨어로 구현했다. (자료:록히드마틴)
차세대 전투가 F35는 18만2000라인의 SW가 들어갔다. 전체 기능 중 90%를 소프트웨어로 구현했다. (자료:록히드마틴)

무기체계 SW 보안 취약성은 장비와 비용 손실뿐만 아니라 인명 피해 등 심각한 결과를 초래한다. 최근 무기체계 기능은 상당 부분이 SW로 구현된다. SW품질과 보안성이 무기체계 개발의 핵심이다. F4 전폭기에 들어간 SW는 1000라인이었다. 전체 기능 18%를 SW로 구현했다. 최신 F35전투기는 18만2000라인에 달하는 SW가 쓰였다. 전체 기능 90%를 SW로 구현하는 등 무기체계 내 SW비중과 중요성이 높다.

기무사 정보보호인증센터 관계자는 “두 번에 걸친 시범검증에서 무기체계에 쓰인 소스코드 내 암호키가 그대로 들어있고 취약한 암호 알고리즘이 사용된 사례를 발견했다”면서 “해커가 리버싱 기술로 무기체계 계정정보를 획득한 후 중요 정보를 탈취할 위협이 있었다”고 설명했다. 무기체계 SW개발 시 보안을 고려하지 않은 조치다.

이밖에 사용자 인증이 필요하지만 절차를 누락한 경우도 많았다. 부적절한 인증 방법을 사용해 해커가 무기체계에 접근 가능할 수 있는 사례도 있다. 일부 무기체계 SW는 취약점이 공개된 오픈소스 옛 버전을 사용했다. 해커는 알려진 취약점을 이용해 무기체계에 사이버 공격을 감행할 수 있다. 정보보호인증센터 관계자는 “지난해 국방전력발전업무훈령을 개정해 무기체계 SW보안성 검증을 시작했다”면서 “이달 말에 세부 검증지침이 마련되면 관련 업체와 기관에 공지해 무기체계 보안성을 따질 것”이라고 밝혔다.

GettyImages
GettyImages

이미 실전 배치된 무기체계 가운데 악성코드에 감염된 채 운영된 사례도 보고됐다. 군 관계자는 “무기체계 유지보수는 USB나 CD에 담긴 패치 파일로 진행한다”면서 “이 과정에서 악성코드에 감염되는 사례가 많다”고 설명했다. 이어 “무기체계에서 악성코드가 발견돼도 치료할 수 없는 구조”라면서 “악성코드 치료로 무기체계가 오작동을 일으킬 수 있다”고 덧붙였다.

군은 무기체계 전용 백신을 개발해 배포하는 조치를 했다. 전용 백신은 PC나 무기체계에 설치하지 않고 USB나 CD에서 실행하는 휴대형이다. 개발 업체와 합동으로 영향성을 검토해 치료 한다.

무기체계를 노리는 사이버 위협은 급증했다. 이란은 2011년 미국 무인항공기(UAV)를 해킹, 납치했다. 당시 미국은 UAV가 통제력이 상실로 사막에 추락했다고 발표했는데 이란이 원형이 보존된 실종 기체를 공개하며 해킹 포획을 주장했다. 이란은 UAV를 분석, 2016년 자체 개발한 UAV를 공개했다.

북한 대륙간탄도미사일(ICBM) 시험발사 실패는 미국 사이버 공격이라는 분석도 나왔다. 미국은 2016~2017년까지 2년 동안 북한 미사일 발사체계에 악성코드를 감염시키고 전자기파를 이용한 '발사의 왼편' 작전을 수행한 것으로 알려졌다.

GettyImages
GettyImages

김승주 고려대 정보보호대학원 교수는 “무기체계를 노린 사이버공격은 실물 공격보다 효과가 훨씬 크다”면서 “우리 군은 이제 시작단계여서 시큐어코딩 초보수준의 취약점 점검에 치우쳐있다”고 지적했다. 김교수는 “앞으로 보안 요구 사항 분석부터 설계, 구현, 유지보수를 아우르는 전 단계 보안성 검토로 확대해야 한다”고 덧붙였다.

김인순 보안 전문기자 insoon@etnews.com