국방과학연구소(ADD)에서 국방 기밀 자료가 대량 유출된 것으로 드러났다. ADD는 한국형 무기 기술 등 기밀 자료를 다루는 곳이다. 하지만 보안 검색대조차 두지 않는 등 상식 밖의 조치로 문제를 키웠다.

방위사업청(방사청)은 25일 ADD 방위산업 기술보호실태 감사를 시행한 결과 퇴직자 2명이 ADD 자료를 휴대용 저장매체(USB)에 담아 외국으로 출국한 정황을 파악했다고 밝혔다. 방사청은 경찰청에 이들의 수사를 의뢰한 상태다.

아이클릭아트
아이클릭아트
방사청은 2016년 1월부터 2020년 4월까지 ADD 퇴직자 1079명과 재직자를 대상으로 USB 사용기록을 전수 조사했다. 그 결과 전직 연구원 2명이 퇴직 전 대량의 자료를 USB에 저정해 외국으로 출국한 것을 파악했다. 출국자 중에는 아랍에미리트(UAE) 소재 대학 연구소에 취업한 이도 있다.

방사청 감사 결과 ADD는 자체 기술자료 유출 예방을 위한 체계를 구축해 놓지 않았던 것으로 드러났다. 출입자 기술자료 유출 방지를 위한 보안 검색대나 보안 요원도 두지 않았다. 군사 기밀을 다루는 국방부나 합참, 방사청 청사가 보안 검색대를 둔 것과는 차이가 있다. USB나 출력물 무단 반출이 용이했던 이유다.

또 얼굴 확인 없이 출입증만 있으면 건물을 출입할 수 있어 출입증 복제에 따른 무단 침입이 가능했다. 개인 차량 보안 검색도 제한적으로만 수행하는 등 아무 제지 없이 출입할 수 없는 환경을 조성해 취약점을 키웠다.

문서보안에도 허점이 드러났다. ADD는 2006년 문서보안(DRM) 체계를 도입했지만 최신 버전으로 업그레이드하지 않았다. 그 결과 한글(HWP)이나 파워포인트(PPT), 워드(DOC) 등 일부 파일에만 보안이 적용됐다. 엑셀이나 도면, 소스코드, 실험 데이터 등의 중요 파일은 보호하지 못했다.

정보유출방지(DLP) 프로그램도 구매해했지만 유명무실했다. 연구소 통합 전산망에서 분리된 연구 시험용 PC 중 62%인 4278대는 DLP가 설치되지 않았다. 구입 후 설치조차 하지 않은 것이다. DLP는 인가되지 않은 하드웨어 기기(HDD)나 USB 등의 저장매체 사용을 통제하고 작업 내용을 디지털화해서 기록, 정보 유출을 방지하는 보안 프로그램이다. 이 과정에서 정보 자산으로 등록하지 않은 채 운영하는 PC가 35%인 2416대였다는 사실도 드러났다.

ADD는 USB의 경우 비밀 용도로만 사용을 제한하는 보안 규정을 두고 있었지만 감사 결과 일반용 저장매체 3635개를 과다 운용해온 것이 밝혀졌다. 저장매체에 보안 기능이 없어 연구소 밖 외부 PC에서도 접속 후 자료 유출을 할 수 있는 위험성이 있었다.

ADD는 국방기술보호 업무 총괄 부서와 보안 업무 관장 부서 퇴직자에 의한 자료유출 방지를 막는 활동에도 미흡했다. 국방기술보호 업무 총괄 부서에서는 퇴직자에 의한 자료 유출 사실을 인지하고서도 사건을 임의로 종결 처리했다. ADD 보안규정 상 보안 관리 총괄 부서 퇴직 예정자에 대한 보안 점검을 했어야 하지만 최근 3년간 이행하지도 않았다.

또 ADD 국방기술보호 업무 총괄 부서가 ADD 본부 직속이 아닌 부설 기구에 소속돼 있었다. 기술 보호나 보안, 정보보호 등 3대 기능을 수행하는 조직이 본부 직속으로 설치돼 있지 않아 ADD 전반의 국방기술보호 업무 수행에 한계가 있었다.

방사청은 재직자 중 사업 자료를 무단으로 복사하거나 USB 사용 흔적을 삭제하는 기능의 불법 소프트웨어(SW)를 사용해 보안 규정을 위반한 23명을 대상으로 추가 조사 후 조치하겠다고 밝혔다.

김평화 기자 peaceit@chosunbiz.com