[방산 이슈 진단 (18)] 구멍 난 ADD 보안시스템 강화하려면 ‘연구소장 책임’ 제도화해야

김한경 기자 입력 : 2020.07.14 10:18 ㅣ 수정 : 2020.07.14 10:28

국회에서 현재 추진 중인 ‘정보수사기관 조사권 부여’만으로는 근원적 해결책 못돼

  • 카카오스토리
  • 네이버밴드
  • 페이스북
  • 트위터
  • 글자크게
  • 글자작게

한국의 방위산업이 새로운 활로를 찾기 위해 고군분투하고 있다. 방위사업청은 지난해부터 방위산업이 처한 현실을 극복하기 위해 지속적인 제도 개선과 함께 법규 제·개정도 추진 중이다. 그럼에도 방위사업 전반에 다양한 문제들이 작용해 산업 발전을 저해하고 있다. 뉴스투데이는 이런 문제들을 심층적으로 진단하는 [방산 이슈 진단] 시리즈를 시작한다. <편집자 주>  

 

최근 정보수사기관에 조사권을 부여하는 방위산업기술보호법 일부 개정안을 발의한 더불어민주당 김병주 의원이 지난 8일 국회의원회관에서 열린 한 세미나에서 인사말을 하고 있다. [사진제공=연합뉴스]
 

   ■ 김병주 의원, 정보수사기관에 조사권 부여하는 법 개정 추진

 

[뉴스투데이=김한경 안보전문기자] 국방과학연구소(ADD) 방산기술 유출 사건을 두고 국회에서 방산기술 유출 위험을 줄이기 위해 정보수사기관에 조사권을 부여하는 법 개정이 추진되고 있다. 그러나 기술 유출을 예방할 책임이 있는 ADD 연구소장의 문책 등 신상필벌을 제도화하는 것이 실질적인 보안 강화를 위한 선결 과제란 지적이 높다.

 

더불어 민주당 김병주 의원(비례대표, 전 연합사 부사령관)은 지난 6일 방산기술 유출 위험에 대해 정보수사기관에 조사권을 부여하는 방위산업기술보호법 일부 개정안을 발의했다고 밝혔다. 현행법은 방산기술 유출·침해가 우려되거나 발생한 때 방위사업청장 또는 정보수사기관의 장이 필요한 ‘조치’를 하도록 규정해 조사할 수 있는 권한은 빠져 있다.

 

김 의원은 “방위산업기술 유출 및 침해 위험을 줄이기 위해 강력한 조사 제도를 마련하고자 하는 것이 이번 개정안의 골자”라면서 “개정안이 통과되면 국가정보원과 군사안보지원사령부(이하 안지사), 검찰, 경찰이 방위산업기술 유출 및 침해 위험이 있다고 판단되면 조사를 진행할 수 있게 된다”고 설명했다.

 

방산기술 유출 예방을 강조한 김 의원은 이번 법 개정을 통해 정보수사기관이 앞장서 조사를 진행하게 하면 국가안보에 중대한 영향을 미치는 방산기술 유출을 사전에 차단할 수 있을 것으로 기대했다. 하지만 그동안 정보수사기관이 조사 권한을 갖지 못해 방산기술 유출이 빈번히 발생했는지 의문이 생기며, 진짜 중요한 것을 놓치고 있는 것 아니냐는 얘기도 나온다.

 

방사청, ADD 전격 감사해 식별된 문제점 및 조치사항 공개

 

이번 법 개정 추진은 ADD 퇴직 연구원들의 기술자료 유출 사실이 두 달 전 SBS 보도로 대외에 알려지면서 검토된 것으로 알려졌다. 방위사업청은 지난 5월 4일부터 6월 12일까지 ADD의 방산기술 보호 실태를 전격 감사해 식별된 문제점과 일부 조치사항을 지난달 25일 언론에 공개했다. 

 

그 내용을 보면, ADD는 기술자료 유출 예방을 위한 체계가 제대로 구축되지 않았음이 드러났다. 보안검색대 및 보안요원을 운용하지 않아 USB 같은 휴대용 저장매체의 무단 반출이 용이했고, 비밀용 외에는 사용을 제한하는 일반용 저장매체를 3635개나 운용하고 있었다. 얼굴 확인 없이 출입증만으로 출입이 가능했고, 차량 보안검색도 제한적으로 수행됐다.

 

또한 문서암호화체계(DRM)를 도입했지만 최신 버전으로 업그레이드되지 않아 중요 파일인 설계도면, 소스코드, 실험 데이터 등에는 적용되지 않았다. 정보유출방지시스템(DLP)도 운용하고 있었으나 연구시험용 PC의 62%인 4278대가 DLP 보안 프로그램이 설치되지 않았고, 정보자산으로 등록되지 않고 운영하는 연구시험용 PC도 2416대가 발견됐다. 

 

국방기술보호 업무 총괄부서는 본부 직속이 아닌 부설기구 소속인데다 퇴직자의 자료유출 사실을 인지하고도 임의로 종결 처리했으며, 보안관리 총괄부서는 퇴직 예정자에 대한 보안 점검을 최근 3년간 실시하지 않았다. 2016년부터 4년간 퇴직자 1079명을 조사한 결과, 퇴직 전에 대량의 자료를 휴대용 저장매체로 전송해 유출한 정황 등이 발견됐다.

 

문제는 연구소장 보안 관심 미약…보안 강화 조치 이뤄지지 않아

 

이와 같은 내용이 발표되자 대다수 보안전문가들은 아연실색했다. 최고의 보안이 요구되는 국방의 핵심기술을 연구하는 곳이 일개 방산업체보다도 보안 상태가 훨씬 못하다는 사실이 만천하에 드러났기 때문이다. 이번 사태를 보면서 그동안 ADD를 거쳐 간 수많은 연구소장들이 보안과 관련해서 과연 무엇을 했는지 되짚어봐야 한다는 의견이 대두됐다.

 

보안 전문가들은 “정보수사기관에게 조사 권한을 부여하는 것은 이미 기술 유출이 거의 발생한 지점에서 필요한 조치에 해당하기 때문에 예방 차원의 효과는 미미하다”고 말했다. 그러면서 “조사 권한 부여보다는 조직의 장이 보안에 대한 전적인 책임을 지도록 제도화하는 조치가  필요하다”고 목소리를 높였다.

 

이번 ADD의 기술자료 유출 사례만 보더라도 가장 큰 문제는 연구소장이 보안에 대한 관심이 미약하기 때문이다. 이 경우 보안 담당 부서는 아무리 보안 취약점을 개선하려고 해도 제대로 역할을 할 수 없는 상황에 놓이게 된다. 보안검색대나 보안 솔루션 구축에는 상당한 예산이 투입되는데 소장의 관심이 부족하면 이런 보안 강화 조치들은 이루어질 수 없다.

 

방산보안에 정통한 한 전문가는 “ADD가 기본적인 보안검색대조차 운용하지 않은 것만 보아도 그동안 얼마나 보안에 무관심했는지 알 수 있다”라고 말했다. 그는 “설사 보안검색대를 운용하더라도 소형 USB까지 찾아내기는 어렵다”면서 “보안 정책을 수립하고 직원들의 보안교육을 통해 이를 준수하게 만드는 관리적 보안이 더 중요하다”고 강조했다.

 

그러면서 “특히 4차 산업혁명 시대의 핵심기술인 로봇·AI 등을 개발하는 연구시험용 PC들은 대부분 리눅스 환경이지만 이에 적용할 DRM과 DLP 프로그램이 개발돼 있지 않다”고 말했다. 또 “연구시험용 PC는 소프트웨어 충돌로 DRM과 DLP는 물론 백신 프로그램도 설치하기 어려워 방산기술의 유출 위험성은 곳곳에 도사리고 있다”고 덧붙였다. 

 

보안감사관과 보안실장 전문성 부족…검증된 보안전문가 기용해야

 

일각에서는 “ADD를 비롯해 대다수 방산업체 보안실장에 군 출신 예비역들이 보직돼 전문성에 문제가 있다”고 지적했다. 또 ADD 및 업체의 보안감사를 담당하는 안지사 감사관들도 전문성이 떨어지는데다, 감사 점수가 업체의 사업 수주에 점수로 반영됨에 따라 기무사(현 안지사) 출신을 보안실장에 기용해 감사를 잘 받으려는 편법이 작용한다는 주장도 제기된다.

 

이와 관련, 방산업체 관계자들은 “기무사가 오랫동안 ADD 보안감사를 했는데 기본적인 접근통제도 제대로 돼 있지 않아 그동안 무엇을 했는지 모르겠다”며 역할에 의구심을 나타냈다. 한 보안 전문가는 “보안 전문성을 구비한 책임감 있는 사람이 필요하다”며 “고액 연봉을 주더라도 검증된 보안전문가를 선발해 보직해야 한다”고 주장했다. 

 

여러 방산 대기업에서 보안 업무를 경험한 한 전직 보안실장은 “보안 예산을 더 투자하라는 CEO와 예산을 그렇게 투자할 필요가 있느냐는 CEO가 있다”면서 “보안이 강화되려면 무엇보다도 CEO의 관심과 예산 지원이 중요하다”고 말했다. 그는 “보안부서는 조직, 인력, 예산이 뒷받침돼야 하므로 CEO 직속으로 편성해야 효과를 발휘할 수 있다”고 주장했다.

 

따라서 김 의원이 발의한 법 개정도 도움은 되겠지만, 현 시점에서 가장 필요한 조치는 ADD 소장이 보안을 전적으로 책임지도록 제도화하는 것이다. 그래야 직속 조직을 편성하고, 전문 인력을 보강하며, 과감한 예산 투자로 보안을 강화할 수 있다. 차제에 안지사 또한 본연의 임무 수행에 합당한 역할과 전문성으로 거듭나는 모습을 보여야 한다는 의견이 지배적이다.