Home > 전체기사
기술유출 발생한 국방과학연구소의 충격적인 보안실태, ‘낙제점’ 수준
  |  입력 : 2020-06-28 23:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
방위사업청의 ADD 방위사업기술보호 실태 감사결과 살펴보니
휴대용 저장매체 및 출력물 무단 반출 쉽고, DRM/DLP 등도 무늬만 설치
기술유출 사실 알고도 눈 감고, 퇴직자 보안점검은 3년 동안 안 하고


[보안뉴스 권 준 기자] 지난 4월 국내 유일의 국방과학기술 전문 연구기관인 국방과학연구소(ADD)에서 대형 기술유출 사건이 발생해 충격을 안긴 가운데 ADD의 방위산업기술보호 실태가 ‘낙제점’ 수준으로 드러났다.

[이미지=utoimage]


방위사업청(청장 왕정홍)은 ADD 퇴직 연구원에 의한 기술자료 유출이 발생함에 따라 지난 5월 4알부터 6월 12일까지 ADD의 방위산업기술보호실태 전반에 대한 감사를 실시해 각종 문제점을 발견했다고 밝혔다.

첫째, ADD는 자체 기술자료 유출 예방을 위한 체계가 제대로 구축되어 있지 않았던 것으로 드러났다. ADD는 출입자 기술자료 유출 방지를 위한 보안검색대 및 보안요원을 운용하고 있지 않아 휴대용 저장매체 및 출력물의 무단 반출이 쉽게 이루어질 수 있는 환경이었다. 또한, 얼굴 확인 없이 출입증을 통해서만 출입이 통제되고 있어 출입증 복제 시 외부인에 의한 무단침입이 가능하며 개인차량에 대한 보안검색도 제한적으로 수행되고 있었다.

또한, ADD는 지난 2006년 9월에 자료 무단반출을 방지하기 위해 전자파일을 자동으로 암호화하는 DRM(Digital Rights Management) 문서암호화체계를 도입했으나 최신 버전으로 업그레이드되지 않은 상태였다. 이에 따라 DRM은 한글문서(HWP), 파워포인트(PPT), 워드(DOC) 문서만 적용되고 그 외 중요 파일인 엑셀, 도면, 소스코드, 실험 데이터 등은 적용되지 않고 있었다. 우리나라 국방력의 근간이 되는 방위산업 기술개발을 담당하는 유일한 전문 연구기관의 보안체계라고 하기에는 충격적인 결과라고 볼 수 있다.

이 뿐만 아니다. 연구소 내에서 인가되지 않은 저장매체(HDD, USB 등)의 사용을 통제하고 작업내용을 전자적으로 기록 유지하여 정보유출을 방지하는 DLP(Data Loss Prevention) 보안 프로그램도 운용하고 있었지만, 연구소 내 통합 전산망에서 분리된 연구시험용 PC 중에서는 4,278대(62%)에 DLP 보안 프로그램이 설치되어 있지 않았던 것으로 조사됐다. 더욱이 정보자산으로 등록조차 되지 않고 운영하는 연구시험용 PC도 감사과정에서 2,416대(35%)가 발견됐다.

이 외에도 보안규정에 휴대용 저장매체는 비밀 용도로만 사용하고 부득이한 경우에 한해 일반 용도로 사용할 수 있도록 규정하고 있으나 ADD는 비밀용 외에 일반용 저장매체를 3,635개나 과다 운용했던 것으로 밝혀졌다. 보안 기능이 없는 일반용 저장매체의 경우 연구소 밖의 외부 PC에서도 접속이 가능해 자료 유출 위험성에 노출될 수밖에 없다.

둘째, ADD의 국방기술보호 업무를 총괄하는 부서와 보안업무를 관장하는 부서들의 퇴직자에 대한 자료유출 방지를 위한 활동이 전반적으로 미흡했던 것으로 조사됐다.

ADD의 국방기술보호 업무를 총괄하는 부서에서는 퇴직자의 자료 유출 사실을 인지하고서도 임의로 종결 처리했고 ADD 보안규정상 보안관리 총괄부서에서는 퇴직 예정자에 대한 보안점검을 하도록 명시되어 있으나 최근 3년간 이를 이행하지 않은 사실도 드러났다.

방위사업청은 이처럼 관련 법‧규정상 의무를 성실히 수행하지 않은 관련자는 징계 등 엄정 처분할 계획이라고 밝혔다.

또한, ADD의 국방기술보호 업무를 총괄하는 부서가 ADD 본부 직속이 아닌 부설기구에 소속되어 ADD 전반의 국방기술보호 업무 수행에 한계가 있었다는 지적에 따라 업무를 체계적이고 효율적으로 수행하기 위해 산재된 기술보호, 보안 및 정보보호 등 3대 기능을 총괄하는 조직을 본부 직속으로 설치하는 방안이 필요하다는 점이 제기됐다.

마지막으로 방위사업청은 2016년 1월부터 2020년 4월까지 ADD 퇴직자 1,079명과 재직자에 대한 휴대용 저장매체 사용기록을 전수 조사한 결과, 퇴직 전에 대량의 자료를 휴대용 저장매체로 전송해 자료를 유출한 정황이 발견됐다며, 이 가운데 외국으로 출국한 2명에 대해서는 경찰청에 수사를 의뢰했다고 설명했다.

또한, 방위사업청은 “그 외 대량의 자료를 휴대용 저장매체로 전송한 퇴직자 중에 조사를 기피하거나 혐의가 의심되는 인원에 대해서는 추가 조사 과정을 거쳐 수사를 의뢰할 예정”이라며, “재직자 중에는 사업 관련 자료를 무단 복사하거나 USB 사용 흔적 삭제 SW 등 불법 SW를 사용해 보안규정을 위반한 직원도 다수 적발한 상황이라 추가 조사를 통해 적정 조치할 계획”이라고 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)