한국군 무기체계 개발 핵심기관이자 자주국방의 산실로 꼽혀온 충남 대전의 국방과학연구소(ADD) 보안에 심각한 허점이 있는 것으로 드러났다.
한국군 기밀을 노리는 북한과 중국 등의 해커들이 기승을 부린다는 사실을 잘 알고 있는 ADD의 보안 대책이 너무 허술하다는 비판을 면할 수 없게 됐다.
방위사업청은 25일 “지난 5월 4일부터 6월 12일까지 실시한 감사 결과를 보면 ADD 내부 보안체계는 곳곳에서 허술했다”며 “공공기관 건물에서 필수적으로 갖춰야 할 청사 출입구의 보안검색대가 없고 검색요원도 두지 않았다”고 밝혔다.
군사 기밀을 다루는 국방부와 합동참모본부, 방사청 청사만의 경우 출입구에 보안검색대와 검색요원이 있다. 출입구의 보안검색대에서 기밀·자료 누출 시도가 적발되곤 하는데 ADD는 이런 기초적인 보안 대책도 갖추지 않았다.
ADD에는 출입증 사진과 출입자의 얼굴이 맞는지를 확인하는 시스템도 없었다. 출입증을 복제하거나 변조해도 아무런 제지를 받지 않고 출입할 수 있는 등 구조적인 취약점이 드러났다.
대량의 기밀자료를 USB 또는 외장하드 등 휴대용 저장매체로 빼돌리는 것을 막는 체계도 구축되지 않았다.
보안 기관에서는 내부 컴퓨터에 휴대용 저장매체를 연결할 경우 보안통제센터에서 즉각 이를 감지하게 돼 있다. 그러나 ADD는 이런 보안시스템이 없었다.
이런 취약성 때문에 최근 서울의 한 대학으로 옮긴 퇴직 연구원이 68만여건, 전자파일로는 260GB 분량을 유출한 정황이 포착돼 수사가 진행 중이다.
이 사건으로 촉발된 이번 감사 과정에 ADD 퇴직자 1,079명과 재직자를 상대로 휴대용 저장매체 사용 기록을 전수 조사했다.
지금까지 감사 결과, 퇴직자 일부가 퇴직 전 대량의 자료를 휴대용 저장매체로 전송해 자료를 유출한 정황이 드러났고, 외국으로 출국한 2명을 경찰청에 수사 의뢰했다. 이들은 ADD 정보유출방지시스템(DLP)에 35만건과 8만건의 접속 흔적을 남겼다.
출국자 중에는 아랍에미리트(UAE)의 한 대학 연구소에 취업한 사람도 있으며, 유출한 기밀자료가 ‘취업 보증서’가 됐을 가능성도 제기된다.
특히 외부로 자료를 반출한 혐의를 받는 퇴직자 상당수가 방사청 조사를 기피하는 정황도 드러나 도덕적 불감증 비판을 받고 있다.
재직자 중에도 자료를 무단 복사하거나 휴대용 저장매체 사용 흔적 삭제, 불법 소프트웨어 사용자도 다수 적발됐고, 이 가운데 23명이 수사 대상에 올랐다.
국방과학연구소 전경.ADD는 통합전산망에서 분리되고, 정보자산으로 등록하지도 않은 연구시험용 컴퓨터(PC)를 2,416대나 사용하는 것으로 적발됐다.
이는 ADD 전체 PC의 35% 규모이다. 연구시험용 PC 중 62%에 달하는 4,278대에는 보안프로그램(DLP)도 깔려 있지 않았다.
DLP는 PC에서 자료를 다운하거나 복사할 때 기록이 남거나 사용자의 이름 또는 사번이 기록된다. 이런 프로그램이 설치되지 않은 PC에서 작업하면 사용자를 찾아낼 수가 없다.
여기에다 보안 기능이 없는 일반용 저장매체 3,635개를 아무나 사용할 수 있도록 방치했다. 이 저장매체는 연구소 밖의 외부 PC에서 접속이 가능해 기밀자료를 담아 와서 외부 PC로 옮겨도 막을 수 없는 구조다.
ADD가 기밀자료 무단 반출을 막기 위해 2006년 9월 구축한 문서암호화체계(DRM)도 제구실을 못했다.
기밀자료 무단 반출을 위해 전자파일을 자동으로 암호화하는 체계인 DRM은 한글문서(HWP)와 파워포인트(PPT), 워드(DOC) 문서만 적용된다. 엑셀, 도면, 소스코드(핵심문서 접속코드), 실험데이터 등은 암호화되지 않아 빼돌려도 걸러내지 못한다.
방사청의 ADD에 대한 감사가 제대로 이뤄지는지도 의문이란 지적이 나온다.
퇴직자들이 퇴직 전 빼돌린 기밀자료가 정확히 어떤 것인지 아직 식별하지 못하고 있다. 내부 전산망에서 유출 흔적을 발견했지만 어떤 문서인지는 파악되지 않았다는 것이다.
ADD 관계자는 “한 퇴직자가 퇴직 전 정보유출방지시스템에 접속한 흔적이 68만여건”이라며 “현재 유출된 자료가 몇 건인지는 제대로 파악하지 못하고 있다”고 말했다.
ADD 감독기관인 방사청의 한 관계자는 “ADD 내부에서 자료 유출 의혹이 4월에 제기됐는데, 방사청은 그전까지 모르고 있었다”고 전했다.
지난해 12월 개정된 ‘공직자윤리법’의 시행령과 시행규칙이 다음 달부터 적용되므로 퇴직자 규모는 더욱 늘어날 전망인 가운데 대책 마련이 시급한 실정이다.
개정 공직자윤리법은 ADD와 국방기술품질원의 재산등록·취업 심사 대상을 임원급에서 수석급까지 확대했다. ADD 430여명과 국방기술품질원 60여명이 재산등록 및 취업 심사 대상자로 추가될 것으로 예상된다.
ADD 수석연구원 등이 재산공개 및 취업 심사 대상이 되면 퇴직자 규모가 늘어날 것으로 방사청은 추정하고 있다.
ADD는 ‘자주국방의 초석’을 기치로 1970년 8월 창설됐다. 일부 퇴직자들의 일탈 행위로 올해 창설 50주년을 맞은 ADD는 최대 기밀 유출 의혹이란 오명의 기록을 남기게 됐다.
