방위사업청은 이날 서울 용산구 국방부 청사에서 브리핑을 열고 최근 알려진 ADD 퇴직자들의 보안 유출 정황과 감사 결과를 발표했다. 방사청 조사에 따르면 연구원 3명이 휴대용 저장매체를 통해 파일을 열거나 옮긴 로그(기록)는 약 100만건에 달한다. 각각의 연구원의 로그는 8만, 30만, 68만건으로 파악됐다.
다만 방사청 관계자는 "로그는 정보유출방지시스템 프로그램에 남은 기록으로, 유출된 자료의 개수가 아니다"라며 "정확히 몇건의 기술이 유출됐는지, 자료가 군사기밀인지는 수사로 밝혀질 것"이라고 말했다.
◇출입구 보안 검색대도 없이 '뻥 뚫린' ADD
더 심각한 문제는 ADD가 국방의 핵심 기밀자료를 다루면서도 기술 보안은 일반 공공기관이나 사기업보다도 못한 수준이었다는 것이다.
먼저 건물 보안이 허술했다. 공공기관 건물이라면 갖춰야 할 청사 출입구의 보안 검색대와 보안 요원이 없었다. 또 얼굴을 확인하는 절차 없이 출입증만 있으면 건물에 들어갈 수 있었다. 출입증 사진과 출입자의 얼굴이 일치하는지 확인하는 시스템도 없었다. 개인 차량에 대한 보안 검색도 제대로 이뤄지지 않았다. 출입증을 복제할 경우 외부인이 얼마든지 드나들 수 있는 환경이었던 셈이다.
◇파일 암호화·외부 USB 통제도 못했다
ADD에는 내부 컴퓨터의 파일을 외장하드나 USB와 같은 휴대용 저장매체로 빼돌리는 것을 감지하거나 막는 체계가 없었다. 일반적으로 보안 기관에는 내부 컴퓨터에 휴대용 저장매체를 연결할 경우 이를 감지하는 보안 프로그램이 있어야 하는데, 제대로 운용되지 않고 있었다.
인가되지 않은 저장매체 사용을 통제하고 작업 내용을 전자적으로 기록하는 보안 프로그램(DLP·정보유출방지시스템)이 있긴 했지만, ADD 통합전산망에서 분리된 연구시험용 PC 중 4278대에는 이 프로그램이 깔려 있지 않았다. 전체 컴퓨터의 62%에 달하는 규모였다. 또 아예 정보자산으로 등록하지도 않고 사용하는 연구시험용 PC도 2416대나 발견됐다.
ADD는 또 보안 기능이 없는 일반용 저장매체를 다수 사용하고 있었다. 일반적으로 보안 기관에서는 외부 컴퓨터에 저장매체를 연결했을 때 내부망에 접속되지 않도록 보안 기능이 내장된 '비밀용 저장매체'를 사용한다. ADD 규정에도 '휴대용 저장매체는 비밀 용도로만 사용하고, 부득이한 경우에 한해 일반 용도로 사용할 수 있다'고 명시돼 있지만, 실제 비밀용 외에 일반용을 3635개 운용하고 있었다.
◇유출되긴 했는데 뭐가 유출됐는지 "모른다"
ADD는 퇴직자들이 기밀을 빼돌린 것은 맞지만, 구체적으로 어떤 자료가 유출됐는지는 파악하지 못하고 있었다.
퇴직 예정자에 대한 보안점검을 수행해야 한다는 규정이 있었는데도, ADD 내 보안관리 총괄부서는 지난 3년간 한 차례도 보안점검을 하지 않았다. 국방기술보호 업무를 총괄하는 부서에서는 퇴직자가 자료를 유출한 사실을 알고도 임의로 종결 처리했다.
남세규 국방과학연구소장은 "대량의 자료를 휴대용 저장매체로 전송한 퇴직자 중에 조사를 기피하거나 혐의가 의심되는 인원에 대해서는 추가 조사 과정을 거쳐 수사를 의뢰할 예정"이라며 "재직자 중에는 사업 관련 자료를 무단 복사하거나 USB 사용 흔적 삭제 소프트웨어를 사용하는 등 보안 규정을 위반한 경우 적발해 조치할 계획"이라고 했다.
June 25, 2020 at 06:29PM
https://ift.tt/3eysFHn
뻥 뚫린 국방과학연구소… 퇴직자가 USB에 기밀 빼돌려도 몰랐다 - 뉴스플러스
https://ift.tt/30MQmYy
Bagikan Berita Ini
0 Response to "뻥 뚫린 국방과학연구소… 퇴직자가 USB에 기밀 빼돌려도 몰랐다 - 뉴스플러스"
Post a Comment