'보안 허점투성이' 국방과학연구소...보안검색대도 없어
2020-06-25 15:21
국산 무기를 개발하는 국방부 산하 국방과학연구소(ADD)의 보안에 심각한 허점이 드러나면서 충격을 주고 있다.
25일 방위사업청은 지난달 4일부터 이달 12일까지 ADD 방위산업 기술보호실태 전반에 대한 감사를 실시해 이같은 내용의 중간 결과를 발표했다.
방사청에 따르면 ADD는 사실상 자체적으로 기술자료 유출 예방을 위한 체계를 전혀 갖추고 있지 않았다. 공공기관 건물에서 필수적으로 갖춰야 할 청사 출입구의 보안검색대가 없고, 검색요원도 없었다. 가장 기초적인 출입 보안부터 허점이 있었던 것이다.
또 얼굴 확인 없이 출입증을 통해서만 출입을 통제, 출입증 복제 시 외부인에 의한 무단침입에 노출된 상태였고 개인차량에 대한 보안검색도 제한적으로 수행되고 있었다고 방사청은 밝혔다.
ADD는 2006년 9월 자료 무단반출을 방지하기 위해 전자파일을 자동으로 암호화하는 문서암호화체계(DRM) 프로그램을 도입하기는 했지만 최신 버전으로 업그레이드를 진행하지 않아 엑셀·파일도면·소스코드·실험 데이터 파일에 대한 암호화 자체가 불가능했다.
또 DLP의 경우 연구소 내 통합 전산망에서 분리된 전체 연구시험용 PC 가운데 62%에 해당하는 4278대에 설치되어있지 않았다. DLP는 연구소 내에서 인가되지 않은 저장매체(HDD, USB 등)의 사용을 통제하고 작업내용을 전자적으로 기록 유지하는 기능을 한다.
뿐만 아니라 휴대용 저장매체는 비밀 용도로만 사용하도록 하는 내부 규정이 있었지만 비밀용 외에 운용된 일반 휴대용 저장매체가 3635개에 달한 것으로 집계됐다. 이 일반휴대용 저장매체에는 보안 기능도 없어 연구소 밖 PC에서도 접속이 가능했기 때문에 유출 위험성에 노출된 상황이었다.
감사 결과 ADD는 퇴직자들에 대한 관리도 전반적으로 미흡했다. ADD 보안규정상 보안관리총괄부서에서 퇴직 예정자에 대한 보안점검을 하도록 명시되어있음에도 최근 3년간 이를 한 번도 이행하지 않았을 뿐만 아니라 ADD 내 기술 보호 부서는 퇴직자의 자료 유출 사실을 인지하고도 임의로 종결 처리했던 것으로 드러났다.
방사청은 또 2016년 1월부터 올해 4월까지 ADD 퇴직자 1079명과 재직자에 대한 전수 조사 결과 2명이 퇴직 전 대량의 자료를 저장매체에 전송한 뒤 해외로 출국해 유출한 정황을 파악해 경찰청에 수사를 의뢰했다고 밝혔다. 이 퇴직자 2명은 각각 35만 건, 8만 건의 자료를 유출한 것으로 파악되고 있다.
또 조사를 기피하거나 혐의가 의심되는 인원에 대해서도 추가 조사 과정을 거쳐 수사를 의뢰한다는 계획이다.
방사청은 "재직자 중 사업 관련 자료를 무단 복사하거나 USB 사용 흔적 삭제 SW 등 불법 SW를 사용하여 보안규정을 위반한 위규자도 다수 적발했다"며 "추가 조사를 통하여 적정 조치할 계획"이라고 밝혔다.