청사 보안검색대도 없고 출입증 대조도 안해
엑셀?도면?소스코드 반출해도 못 거르고
연구시험용 PC 62%는 보안프로그램도 없어
강은호 방위사업청 차장이 25일 서울 용산구 국방부에서 국방과학연구소(ADD) 보안 관련 중간 감사결과를 발표하고 있다. 연합뉴스
군 무기체계 개발 핵심기관인 국방과학연구소(ADD)의 보안에 심각한 허점이 드러났다. 외부 해커의 침투는 물론, 내부 기밀 반출에도 속수무책인 걸로 나타났다.
방위사업청은 25일 ADD 감사 결과를 발표했다. 지난달부터 이달 12일까지 실시한 감사 결과에 따르면 ADD 보안 대책은 총체적 부실이었다. 청사 출입구에 보안검색대를 설치하지도, 검색요원을 배치하지도 않았다. 컴퓨터나 저장매체 등을 반출ㆍ반입하더라도 알아챌 기초적인 보안 대책조차 없는 셈이다. 청사출입증과 출입자를 대조해 확인하는 시스템도 갖추지 않았다.
인증 받지 않은 USB(이동식 저장 장치)나 외장하드 등 휴대용 저장매체를 ADD 컴퓨터 등에 연결해도 감지할 수 있는 시스템도 없는 것으로 조사됐다. 최근 서울의 한 대학연구소로 옮겨가면서 260GB 분량의 전자 파일 68만여건을 유출한 의혹으로 수사를 받고 있는 퇴직자도 이런 허점 때문에 파일을 가져갈 당시 포착되지 않은 것으로 보인다.
해당 의혹이 불거지자 방위사업청은 ADD 퇴직자 1,079명과 재직자를 상대로 휴대용 저장매체 사용 기록을 전수 조사했다. 퇴직자 일부가 퇴직 전 대량의 자료를 휴대용 저장매체에 담아 유출한 정황이 드러났고, 자료 유출 후 해외로 나간 2명을 경찰청에 수사 의뢰했다. 이들은 ADD 정보유출방지보안시스템(DLP)에 35만건과 8만건의 접속 흔적을 남긴 것으로 알려졌다.
이밖에도 ADD 직원들은 통합전산망에 포함되지 않고 정보자산으로 등록하지도 않은 연구시험용 개인용 컴퓨터를 2,416대나 사용하고 있었다. ADD 전체 PC 35% 규모다. 이 연구시험용 PC 중 62%에 달하는 4,278대에는 DLP도 깔려 있지 않았다. DLP는 PC에서 자료를 다운하거나 복사할 때 기록이 남거나 사용자의 이름 또는 사번이 기록된다.
보안 기능이 없는 일반용 저장매체도 방치 상태인 것으로 나타났다. 3,635개에 달하는 일반용 저장매체에 기밀자료를 내리 받아 반출해도 통제가 불가능했던 것이다.
기밀자료 무단 반출을 막기 위해 2006년 9월 구축한 문서암호화체계(DRM)는 한글ㆍMS워드 문서와 파워포인트만 자동으로 암호화할 뿐, 엑셀, 도면, 소스코드(핵심문서 접속코드), 실험데이터 등은 암호화되지 않은 상태다. 시스템 업그레이드가 제대로 이뤄지지 않은 까닭이다.
기사 URL이 복사되었습니다.
댓글0