내부 기술자료 유출방지 위한 추가 보안대책 필요↑

[일간투데이 조필행 기자] 방위사업청(청장 왕정홍)은 국방과학연구소(이하 ADD) 퇴직 연구원에 의한 기술자료 유출이 발생함에 따라 ’20. 5. 4.부터 6. 12.까지 ADD의 방위산업기술보호실태 전반에 대한 감사를 실시해 다음과 같은 문제점을 식별했다.

첫째, ADD는 자체 기술자료 유출 예방을 위한 체계가 아래와 같이 구축돼 있지 않았다.

ADD는 출입자 기술자료 유출 방지를 위한 보안검색대 및 보안요원을 운용하고 있지 않아 휴대용 저장매체 및 출력물의 무단 반출이 용이하고 얼굴 확인 없이 출입증을 통해서만 출입이 통제되고 있어 출입증 복제 시 외부인에 의한 무단침입이 가능하며 개인차량에 대한 보안검색도 제한적으로 수행되고 있었다.

연구소 내에서 인가되지 않은 저장매체(HDD, USB 등)의 사용을 통제하고 작업내용을 전자적으로 기록 유지해 정보유출을 방지하는 DLP* 보안 프로그램도 운용하고 있으나 연구소 내 통합 전산망에서 분리된 연구시험용 PC 중에서는 4,278대(62%)가 DLP 보안 프로그램이 설치돼 있지 않았고 정보자산으로 등록조차 되지 않고 운영하는 연구시험용 PC도 감사과정에서 2,416대(35%)가 발견됐다.

또한 보안규정에 휴대용 저장매체는 비밀 용도로만 사용하고 부득이한 경우에 한해 일반 용도로 사용할 수 있도록 규정하고 있으나 ADD는 비밀용 외에 일반용 저장매체 3,635개를 과다 운용하면서 저장매체 내에 보안 기능이 없어 연구소 밖의 외부 PC에서도 접속이 가능해 자료 유출 위험성에 노출된 상황이었다.

둘째, ADD의 국방기술보호 업무를 총괄하는 부서와 보안업무를 관장하는 부서들의 퇴직자에 대한 자료유출 방지를 위한 활동이 전반적으로 미흡했다.

ADD의 국방기술보호 업무를 총괄하는 부서에서는 퇴직자의 자료 유출 사실을 인지하고서도 임의로 종결 처리했고 ADD 보안규정 상 보안관리 총괄부서에서는 퇴직 예정자에 대한 보안점검을 하도록 명시돼 있으나 최근 3년간 이를 이행하지 않았다.

이처럼 관련 법‧규정 상 의무를 성실히 수행하지 않은 관련자는 징계 등 엄정 처분할 계획이다.

또한 ADD의 국방기술보호 업무를 총괄하는 부서가 ADD 본부 직속이 아닌 부설기구에 소속돼 ADD 전반의 국방기술보호 업무 수행에 한계가 있었다.

따라서 업무를 체계적이고 효율적으로 수행하기 위해 산재된 기술보호, 보안 및 정보보호 등 3대 기능을 총괄하는 조직을 본부 직속으로 설치하는 방안이 필요한 것으로 확인됐다.

마지막으로 ’16. 1월부터 ’20. 4월까지 ADD 퇴직자 1,079명과 재직자에 대한 휴대용 저장매체 사용기록을 전수 조사한 결과,퇴직 전에 대량의 자료를 휴대용 저장매체로 전송해 자료 유출 정황이 있고 외국으로 출국한 2명에 대해서는 경찰청에 수사를 의뢰했으며 그 외 대량의 자료를 휴대용 저장매체로 전송한 퇴직자 중에 조사를 기피하거나 혐의가 의심되는 인원에 대해서는 추가 조사 과정을 거쳐 수사를 의뢰할 예정이다.

또한, 재직자 중에는 사업 관련 자료를 무단 복사하거나 USB 사용 흔적 삭제 SW 등 불법 SW를 사용해 보안규정을 위반한 위규자도 다수 적발해 추가 조사를 통해 적정 조치할 계획이다.


저작권자 © 일간투데이 무단전재 및 재배포 금지