자주국방 산실 국방과학연구소(ADD)…기술보안엔 구멍 '숭숭'

국산 무기를 개발하는 국방부 산하 국방과학연구소(ADD)의 기술보안 관리에 큰 구멍이 뚫린 것으로 나타났다. 출입자 검색대 등 기초적인 보안시스템조차 갖추고 있지 않아 기밀자료 유출 위험이 상존했던 것으로 드러났다. 매뉴얼 규정인 퇴직예정자에 대한 보안점검도 이뤄지지 않았다.

방위사업청은 25일 이 같은 내용의 ADD 기술보호실태 감사 중간 결과를 발표했다. 방사청은 지난 5월 초 ADD 퇴직자들의 기밀자료 유출 의혹이 불거진 뒤 한달여간 자체 감사를 벌여왔다. 이 감사와는 별도로 현재 경찰 조사가 진행 중이다. 자체감사 결과 ADD 내 기술자료 유출을 막기 위한 보안 체계가 미흡한 것으로 조사됐다. 기술자료 유출 방지를 위한 보안검색대 및 보안요원을 운용하지 않아 휴대용 저장매체 및 출력물의 무단 반출이 용이한 것으로 나타났다. 또 얼굴 확인 없이 출입증을 통해서만 출입통제가 이뤄져 출입증 복제 시 외부인의 무단침입이 가능했다.ADD는 2006년 9월 자료 무단반출을 방지하기 위해 전자파일을 자동으로 암호화하는 문서암호화체계(DRM) 프로그램을 도입했지만, 최신 버전 업그레이드가 진행되지 않아 엑셀·파일도면·소스코드·실험 데이터 파일에 대한 암호화 자체가 불가능했다. 통합 전산망에서 분리된 연구시험용 PC 중 4278대(62%)에는 정보유출방지시스템(DLP) 프로그램이 깔려있지 않았다. DLP 프로그램은 연구소 내에서 인가받지 않은 저장매체(하드디스크, USB저장장치) 사용을 통제하는 역할을 수행한다.

또 휴대용 저장매체는 비밀 용도로만 사용하도록 하는 내부 규정이 있었지만 비밀용 외에 운용된 일반 휴대용 저장매체가 3635개에 달한 것으로 집계됐다. 이 일반휴대용 저장매체에는 보안 기능도 없어 연구소 밖 PC에서도 접속이 가능했다. 퇴직자들에 대한 관리도 전반적으로 미흡했다. ADD 내부 보안규정 상 보안관리 총괄부서에선 퇴직 예정자에 대한 보안점검을 하도록 명시돼있지만 최근 3년간 이 같은 규정이 실행에 옮겨지지 않았다.

방사청은 2016년 1월부터 2020년 4월까지 ADD 퇴직자 1079명과 재직자에 대한 휴대용 저장매체 사용기록을 전수 조사했다. 퇴직 전 대량의 자료를 휴대용 저장매체로 전송해 연구소 밖으로 유출한 뒤 외국으로 출국한 퇴직자 2명에 대해선 경찰청에 수사를 의뢰했다. 이 퇴직자 2명이 유출한 자료 건수만 38만건에 달하는 것으로 알려졌다. 사업관련 자료를 무단 복사하거나 USB 사용 흔적을 삭제하는 소프트웨어를 사용한 재직자들도 다수 적발해 추가 조사를 벌일 계획이다.

이정호 기자 dolph@hankyung.com