기밀 유출돼도 모르는 '총체적 난국' 국방과학연구소

출입관리·보안시스템·암호화체계 등 보안 허점 다수 발견
출국한 퇴직자 2명 뒤늦게 수사 의뢰…1명은 UAE로
기밀자료 유출된 건 맞지만 "뭔지는 모르겠다…수사 중"

(사진=국방과학연구소 홈페이지 캡처)

우리 군의 무기체계를 개발하는 핵심 기관인 국방과학연구소(ADD)에서 최근 보안이 유출된 사례가 발견됐다.

방위사업청과 국방과학연구소는 25일 서울 용산구 국방부 청사에서 브리핑을 열고 최근 언론을 통해 보도된 퇴직 연구원들의 보안 유출 정황과 그에 대한 감사 결과를 발표했다.

군의 핵심 기밀을 노리는 북한이나 외국 해커들이 계속해서 해킹을 시도한다는 사실을 잘 알고 있으면서도 보안 대책은 그에 맞게 갖춰져 있지 않은 것으로 나타났다.

◇보안검색대도 없는 ADD 출입구…출입증 사진과 출입자 얼굴도 체크 안 해

방위사업청의 감사 결과를 보면 ADD 내부 보안체계는 허술했다. 공공기관 건물에서 필수적으로 갖춰야 할 청사 출입구의 보안검색대가 없고, 검색요원도 없었다.

더욱이 출입증 사진과 출입자의 얼굴이 맞는지를 확인하는 시스템도 없었다. 서울 종로구 정부서울청사 등의 경우 지난 2016년 한 공무원 시험 응시자가 도난 신분증으로 몰래 정부서울청사에 들어가 시험 성적과 합격자를 조작한 사건을 계기로 얼굴 인식을 도입했다. 현재는 코로나19로 인해 마스크를 착용하게 되면서 중지됐다.

그런데 ADD의 경우엔 이를 제대로 확인하는 시스템이 없어, 의도적으로 출입증을 복제하거나 변조해도 아무런 제지를 받지 않고 출입할 수 있는 등 구조적인 취약점이 드러났다.

(사진=스마트 이미지 제공)

◇유출 막을 저장매체 경보 시스템도 없어…퇴직 연구원 2명 출국해 수사의뢰

대량의 기밀자료를 휴대용 저장매체(USB 또는 외장 하드디스크)로 빼돌리는 것을 막는 체계도 구축되지 않았다. 통상적으로 관련 기관에서는 내부 컴퓨터에 휴대용 저장매체를 연결할 경우 이를 내부 시스템에서 감지하게 돼 있다.

하지만 ADD는 이런 보안시스템을 구축하지 않았고, 최근에 퇴직한 뒤 서울의 한 대학교로 간 연구원이 군사기밀 68만여건(전자파일 260GB 분량)을 유출한 의혹을 받고 있다.

이번 감사에서 당국은 ADD 퇴직자 1079명과 모든 재직자를 상대로 휴대용 저장매체 사용 기록을 전수 조사했고, 그 결과 퇴직자 일부가 퇴직 전 대량의 자료를 휴대용 저장매체로 전송해 자료를 유출한 정황이 드러났다.

2명은 아예 외국으로 출국했고, 방위사업청은 이 2명을 경찰청에 수사 의뢰했다. 출국자 가운데는 아랍에미리트(UAE)의 한 대학 연구소에 취업한 경우도 있다.

◇통합전산망에서 분리된 2천대 넘는 PC, 엑셀엔 적용 안 되는 암호화체계

게다가 ADD는 통합전산망에서 분리돼 있고 정보자산으로 등록하지도 않은 연구시험용 PC를 2416대나 사용하는 것으로 적발됐다.

이는 ADD 전체 PC의 35% 규모로, 이 가운데 62%를 차지하는 4278대에는 자료 다운로드와 복사를 누가 했는지 기록하는 보안프로그램(DLP)도 깔려 있지 않았다.

ADD는 또 보안 기능이 없는 일반용 저장매체 3635개를 아무나 사용할 수 있도록 방치했다. 통상적으로 보안 기관에서 사용하는 저장 매체는 외부 PC에 연결하면 아예 작동이 되지 않지만, 이 저장매체는 외부 PC에서도 접속이 가능했기 때문에 기밀자료를 담아 와서 외부 PC로 옮겨도 막을 수 없는 구조다.

ADD는 기밀자료 무단 반출을 막고자 2006년 9월에 문서암호화체계(DRM)를 구축해 전자파일을 자동으로 암호화했지만, 이 또한 한글과 파워포인트, 워드 문서에만 적용됐다.

엑셀이나 도면, 소스코드, 실험 데이터 등은 암호화되지 않았다는 뜻이다.

(사진=연합뉴스)

◇기밀자료가 빠진 것은 "맞다", 뭐가 유출됐는지는 "모른다…수사 중"

게다가 방위사업청은 퇴직자들이 퇴직 전 빼돌린 기밀자료가 정확히 어떤 것인지도 아직 식별하지 못하고 있다. 내부 전산망에서 유출 흔적은 발견했지만, 어떤 문서인지는 파악되지 않았다는 것이다.

방사청은 ADD를 감독하는데도 내부에서 자료 유출 의혹이 제기되기 전까지 이를 전혀 몰랐다.

ADD를 감독하는 방사청 관계자는 "ADD 내부에서 자료 유출 의혹이 4월에 제기됐는데, 방사청은 그전까지 모르고 있었다"며 "방사청이 이를 알게 된 것은 4월 중순이고, 다음 날 바로 수사기관에 수사를 의뢰했다"고 말했다.

ADD 관계자는 브리핑에서 "한 퇴직자가 퇴직 전 정보유출방지시스템에 접속한 흔적이 68만여건인데, 파일을 열어 보거나 저장을 할 때 남는 로그 기록을 모두 합친 수치다"며 "나머지는 수사 중이기 때문에 현재 유출된 자료가 몇 건인지는 제대로 파악하지 못하고 있다"고 말했다.

ADD에 따르면 이들이 보유한 자료 가운데 군사기밀보호법에 해당되는 군사기밀은 1% 미만이다. 이 로그 기록은 자료 1개의 일부를 단순히 열람하기만 해도 1건으로 기록되기 때문에 68만여건이라는 수치가 나왔다는 것이 이날 브리핑에서 남세규 국방과학연구소장이 한 설명이다.

경찰 보안수사대는 현재 이 사건에 대해 국가정보원 등과 공조해 수사를 진행하고 있다.