2020-07-06 08:40 (월)
보안불감증에 빠진 국방과학연구소, 퇴직 연구원 기술자료 유출...이런 이유들 때문
상태바
보안불감증에 빠진 국방과학연구소, 퇴직 연구원 기술자료 유출...이런 이유들 때문
  • 길민권 기자
  • 승인 2020.06.26 14:00
이 기사를 공유합니다

방사청 “ADD 방위산업기술보호실태 전반에 대한 감사 실시 결과…보안 허점 투성이”

보안불감증에 빠진 국방과학연구소에 대한 방위사업청 조사 결과가 발표됐다. 다른 기관들도 이번 사건을 계기로 다시 한번 정보유출 방지 체계를 정비해야 할 것으로 보인다.

방위사업청(청장 왕정홍)은 국방과학연구소(이하 ADD) 퇴직 연구원에 의한 기술자료 유출이 발생함에 따라 지난 5월 4일부터 6월 12일까지 ADD의 방위산업기술보호실태 전반에 대한 감사를 실시한 결과를 25일 발표했다. 주요 내용은 다음과 같다.

첫째, ADD는 자체 기술자료 유출 예방을 위한 체계가 아래와 같이 구축되어 있지 않았다.

ADD는 출입자 기술자료 유출 방지를 위한 보안검색대 및 보안요원을 운용하고 있지 않아 휴대용 저장매체 및 출력물의 무단 반출이 용이하고 또한 얼굴 확인 없이 출입증을 통해서만 출입이 통제되고 있어 출입증 복제 시 외부인에 의한 무단침입이 가능하며 개인차량에 대한 보안검색도 제한적으로 수행되고 있었다.

그리고 ADD는 지난 2006년 9월에 자료 무단반출을 방지하기 위해 전자파일을 자동으로 암호화하는 DRM 문서암호화체계를 도입했으나 최신 버전으로 업그레이드되지 않아 DRM은 한글문서(HWP), 파워포인트(PPT), 워드(DOC) 문서만 적용되고 그 외 중요 파일인 엑셀, 도면, 소스코드, 실험 데이터 등은 적용되지 않고 있었다.

또 연구소 내에서 인가되지 않은 저장매체(HDD, USB 등)의 사용을 통제하고 작업내용을 전자적으로 기록 유지하여 정보유출을 방지하는 DLP((Data Loss Prevention. 정보유출방지시스템) 보안 프로그램도 운용하고 있으나 연구소 내 통합 전산망에서 분리된 연구시험용 PC 중에서는 4,278대(62%)가 DLP 보안 프로그램이 설치되어 있지 않았고 정보자산으로 등록조차 되지 않고 운영하는 연구시험용 PC도 감사과정에서 2,416대(35%)가 발견되었다.

그리고 보안규정에 휴대용 저장매체는 비밀 용도로만 사용하고 부득이한 경우에 한하여 일반 용도로 사용할 수 있도록 규정하고 있으나 ADD는 비밀용 외에 일반용 저장매체 3천635개를 과다 운용하면서 저장매체 내에 보안 기능이 없어 연구소 밖의 외부 PC에서도 접속이 가능하여 자료 유출 위험성에 노출된 상황이었다.

둘째, ADD의 국방기술보호 업무를 총괄하는 부서와 보안업무를 관장하는 부서들의 퇴직자에 대한 자료유출 방지를 위한 활동이 전반적으로 미흡했다.

ADD의 국방기술보호 업무를 총괄하는 부서에서는 퇴직자의 자료 유출 사실을 인지하고서도 임의로 종결 처리하였고 ADD 보안규정 상 보안관리 총괄부서에서는 퇴직 예정자에 대한 보안점검을 하도록 명시되어 있으나 최근 3년간 이를 이행하지 않았다.

이처럼 관련 법·규정 상 의무를 성실히 수행하지 않은 관련자는 징계 등 엄정 처분할 계획이다.

또한 ADD의 국방기술보호 업무를 총괄하는 부서가 ADD 본부 직속이 아닌 부설기구에 소속되어 ADD 전반의 국방기술보호 업무 수행에 한계가 있었다.

따라서 업무를 체계적이고 효율적으로 수행하기 위해 산재된 기술보호, 보안 및 정보보호 등 3대 기능을 총괄하는 조직을 본부 직속으로 설치하는 방안이 필요한 것으로 확인되었다.

마지막으로 2016년 1월부터 2020년 4월까지 ADD 퇴직자 1천79명과 재직자에 대한 휴대용 저장매체 사용기록을 전수 조사한 결과, 퇴직 전에 대량의 자료를 휴대용 저장매체로 전송해 자료 유출 정황이 있고 외국으로 출국한 2명에 대해서는 경찰청에 수사를 의뢰했다.

그 외 대량의 자료를 휴대용 저장매체로 전송한 퇴직자 중에 조사를 기피하거나 혐의가 의심되는 인원에 대해서는 추가 조사 과정을 거쳐 수사를 의뢰할 예정이다.

또한 재직자 중에는 사업 관련 자료를 무단 복사하거나 USB 사용 흔적 삭제 SW 등 불법 SW를 사용해 보안규정을 위반한 자도 다수 적발해 추가 조사를 통해 적정 조치할 계획이라고 밝혔다.

#국방과학연구소 정보유출 재발방지 대책

한편 국방과학연구소 남세규 소장은 “이번 자료유출 사건에 대해 깊은 사과의 말씀을 드린다. 현재 ADD는 수사에 적극 협조하고 있으며, 앞에서 발표된 감사 결과에 따라 방산기술 취약점을 진단하고 재발 방지를 위한 특단의 보안대책을 수립했다”며 “연구소는 전국 7개 지역에 약 600여 개의 건물이 산재되어 있어 지금까지는 개인보안책임 중심으로 점진적으로 개선하고 있었으나, 최근 강화된 방산기술보호법과 감사 결과에 따라 부족함을 절감하고 시스템 기반 정보보호 체계로 혁신하고자 한다”고 말했다.

재발방지를 위한 보안대책 주요 내용은 다음과 같다.

첫 번째, 물리적 보호 측면이다. 출입구 보안검색대를 설치하고 빈손 출퇴근을 적용하겠습니다. 스마트캐비닛 도입해 이동식 저장매체의 관리를 강화하도록 하겠다. 출입구 보안검색대가 구축되기 전까지는 상시적으로 불시검문을 강화해서 정보자산과 출력물 무단반출을 철저하게 차단토록 하겠다.

두 번째, 정보보호 관리시스템이다. 연구자료의 통합관리를 위한 클라우드 환경을 구축하고, 자료 암호화 및 자료유출 방지 기능을 고도화해 자동으로 추적경보 할 수 있도록 할 예정이다.

세 번째, 기술보호 관련 조직 및 인식 관련 사항이다. 전문성을 보유한 기술보호 관련 조직을 통합해서 관리·감독 기능을 강화토록 하겠다.

네 번째, 핵심기술 보유 인력 관리사항이다. 퇴직 시 기술정보 유출 여부를 확인하고 국방 핵심기술 보유 인력의 유출방지대책을 수립해 체계적으로 관리하겠다. 기술통제시스템을 신속하게 구축하고, 또 수사기관과 협조해서 위반자 처벌과 기술자료 환수 등의 필요한 조치를 실시하겠다.

★정보보안 대표 미디어 데일리시큐!★

◇국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스(MPIS 2020) 개최
-일 시: 2020년 7월 30일(목) 09:00~17:00
-장 소: 한국과학기술회관 지하1층 대회의실
-참석대상: 전국 의료기관 및 관련 공공기관 개인정보보호/정보보안 담당자(무료 참석)
(이외 참석자는 11만원 유료 참석만 가능)
-사전등록: 사전등록 클릭
-참가기업 문의: 데일리시큐 길민권 기자(mkgil@dailysecu.com)