엑셀·도면·소스코드 반출해도 못 걸러…연구시험용 PC 62%에 보안프로그램도 없어
보안검색대도 없는 국방과학연구소…방사청 감사도 '맹탕'
한국군 무기체계 개발 핵심기관이자 자주국방의 산실로 꼽혀온 충남 대전 국방과학연구소(ADD)의 보안에 심각한 허점이 드러나 충격을 주고 있다.

한국군 기밀을 노리는 북한과 중국 등의 해커들이 기승을 부린다는 사실을 잘 알고 있는 ADD의 보안 대책이 구멍가게보다 못하다는 비판이 제기된다.

◇ ADD 출입구 보안검색대 없고 정보유출방지체계도 허점
방위사업청이 지난 5월 4일부터 6월 12일까지 실시한 감사 결과를 보면 ADD 내부 보안체계는 곳곳에서 허술했다.

공공기관 건물에서 필수적으로 갖춰야 할 청사 출입구의 보안검색대가 없고, 검색요원도 두지 않았다고 방사청은 25일 밝혔다.

군사 기밀을 다루는 국방부와 합참, 방사청 청사만 보더라도 출입구에 보안검색대가 있다.

이 검색대에 가방 등 소지품을 넣으면 컴퓨터와 저장매체가 들어 있을 경우 경고음이 나고, 검색요원이 소지품을 꺼내 일일이 확인한다.

이런 과정을 거쳐도 기밀이 누설되는 사례가 적발되는데 하물며 ADD는 이런 기초적인 보안 대책도 갖추지 않았다.

더욱이 출입증 사진과 출입자의 얼굴이 맞는지를 확인하는 시스템도 없었다.

의도적으로 출입증을 복제하거나 변조해도 아무런 제지를 받지 않고 출입할 수 있는 등 구조적인 취약점이 드러났다.

대량의 기밀자료를 휴대용 저장매체(USB 또는 외장하드)로 빼돌리는 것을 막는 체계도 구축되지 않았다.

보안 기관에서는 내부 컴퓨터에 휴대용 저장매체를 연결할 경우 보안통제센터에서 즉각 이를 감지하게 되어 있다.

그러나 ADD는 이런 보안시스템을 구축하지 않았다.

이런 취약점으로 최근 서울의 한 대학으로 옮긴 퇴직 연구원이 68만여 건을 유출한 의혹을 사고 있다.

전자 파일로는 260GB 분량으로 추정된다.

이 사건으로 촉발된 이번 감사 과정에 ADD 퇴직자 1천79명과 재직자를 상대로 휴대용 저장매체 사용 기록을 전수 조사했다.

지금까지 감사 결과, 퇴직자 일부가 퇴직 전 대량의 자료를 휴대용 저장매체로 전송해 자료를 유출한 정황이 드러났고, 외국으로 출국한 2명을 경찰청에 수사 의뢰했다.

이들은 ADD 정보유출방지시스템(DLP)에 35만건과 8만건의 접속 흔적을 남겼다.

출국자 중에는 아랍에미리트(UAE)의 한 대학 연구소에 취업한 사람도 있는데, 유출한 기밀자료가 '취업 보증수표'가 됐을 가능성을 의심받고 있다.

특히 외부로 자료를 반출한 혐의를 받는 퇴직자 상당수가 방사청 조사를 기피하는 정황도 드러나 도덕적 불감증 비판을 받고 있다.

재직자 중에도 자료를 무단 복사하거나 휴대용 저장매체 사용 흔적 삭제, 불법 소프트웨어 사용자도 다수 적발됐고, 이 가운데 23명이 수사 대상에 올랐다.

아울러 ADD는 통합전산망에서 분리되고, 정보자산으로 등록하지도 않은 연구시험용 PC를 2천416대나 사용하는 것으로 적발됐다.

이는 ADD 전체 PC의 35% 규모이다.

연구시험용 PC 중 62%에 달하는 4천278대에는 보안프로그램(DLP)도 깔려 있지 않았다.

DLP는 PC에서 자료를 다운하거나 복사할 때 기록이 남거나 사용자의 이름 또는 사번이 기록된다.

이런 프로그램이 설치되지 않은 PC에서 작업하면 사용자를 찾아낼 수가 없다.

여기에다 보안 기능이 없는 일반용 저장매체 3천635개를 아무나 사용할 수 있도록 방치했다.

이 저장매체는 연구소 밖의 외부 PC에서 접속이 가능해 기밀자료를 담아 와서 외부 PC로 옮겨도 막을 수 없는 구조다.

보안검색대도 없는 국방과학연구소…방사청 감사도 '맹탕'
ADD가 기밀자료 무단 반출을 막고자 2006년 9월 구축한 문서암호화체계(DRM)도 제구실을 못한 것으로 나타났다.

DRM은 기밀자료 무단 반출을 위해 전자파일을 자동으로 암호화하는 체계인데, 한글문서(HWP)와 파워포인트(PPT), 워드(DOC) 문서만 적용되는 것으로 밝혀졌다.

정작 중요한 파일인 엑셀, 도면, 소스코드(핵심문서 접속코드), 실험데이터 등은 암호화되지 않아 빼돌려도 걸러내지 못한다는 지적이 나온다.

◇ 방사청 감사 과정에도 의문…"유출자료 몇건인지 파악 못 해"
방사청의 ADD에 대한 감사가 제대로 이뤄지는지도 의문이란 지적이 나온다.

퇴직자들이 퇴직 전 빼돌린 기밀자료가 정확히 어떤 것인지 아직 식별하지 못하고 있다.

내부 전산망에서 유출 흔적을 발견했지만, 어떤 문서인지는 파악되지 않았다는 것이다.

ADD 관계자는 "한 퇴직자가 퇴직 전 정보유출방지시스템에 접속한 흔적이 68만여건"이라며 "현재 유출된 자료가 몇 건인지는 제대로 파악하지 못하고 있다"고 말했다.

ADD를 감독하는 방사청 관계자는 "ADD 내부에서 자료 유출 의혹이 4월에 제기됐는데, 방사청은 그전까지 모르고 있었다"고 전했다.

보안검색대도 없는 국방과학연구소…방사청 감사도 '맹탕'
작년 12월 개정된 '공직자윤리법'의 시행령과 시행규칙이 다음 달부터 적용되므로 퇴직자 규모는 더욱 늘어날 전망인데 대책 마련이 시급하다는 지적이 나온다.

개정 공직자윤리법은 ADD와 국방기술품질원의 재산등록·취업 심사 대상을 임원급에서 수석급까지 확대했다.

ADD 430여명과 국방기술품질원 60여명이 재산등록 및 취업 심사 대상자로 추가될 것으로 예상된다.

ADD 수석연구원 등이 재산공개 및 취업 심사 대상이 되면 퇴직자 규모가 늘어날 것으로 방사청은 추정하고 있다.

ADD는 '자주국방의 초석'을 기치로 1970년 8월 창설됐다.

일부 퇴직자들의 일탈 행위로 올해 창설 50주년의 ADD 역사에 최대 기밀 유출 의혹이란 오명의 기록을 남기게 됐다.

/연합뉴스