최근 기상청에 납품된 외산 기상관측 장비에서 악성코드가 발견되면서 외산 정보시스템 도입과 관련된 보안 안전성 문제가 핫이슈가 되었다. 국가정보원에서는 해당 악성코드가 외산 장비에 설치된 상태로 납품된 것으로 보고 국내 정부기관과 지자체에 공급된 외산 장비에 대한 전수조사를 실시했다고 하며, 그 결과 1만여대에 이르는 외산 장비중에서 일부에 악성코드가 추가로 확인되었다고 한다. 게다가 공군에서 사용하고 있는 같은 종류의 관측장비에 대한 백업CD에서도 악성코드가 발견되는 등 상황이 점점 더 악화되고 있어 많은 사람들이 우려하고 있다.

악성코드(Malicious Code, Malware, 악성소프트웨어)는 정상적인 기능이 아닌 사용자에게 해악을 끼치는 악의적 목적으로 만들어진 모든 코드를 의미하며, 예전에는 컴퓨터 바이러스, 웜 등과 구별했으나 지금은 모두 포괄하여 지칭한다. 악성코드는 네트워크 전파개념이 있는 것이 대부분이라 한번 동작하면 연결된 컴퓨터 전체를 감염시킬 수 있어 매우 위험하다.

병무청 정책자문위원으로 활동하면서 ‘안전하고 신뢰받는 병무행정’을 운영하기 위해 병무청과 함께 고민해 왔다. 병역자료는 전시 및 국가비상사태 시 병력동원 등 병무행정 업무수행에 반드시 필요한 자료로서 사이버공격으로 인한 병역자료의 훼손은 국가안보에 치명적인 위협이 된다는 점을 생각할때 병무행정에 대한 정보보호가 얼마나 중요한지 다시 한번 생각하게 된다.

병무청의 경우 업무망과 인터넷망간 네트워크가 물리적으로 분리가 되어 있고, 망연계 시스템, 침입방지‧차단 시스템 등의 정보보호체계가 구성되어 있으나 외산장비 도입과 같이 업체 공급망을 통해 악성코드가 유입될 경우 내부로 감염될 가능성이 있으므로 더욱 각별한 주의가 필요하다.

이를 위해서 병무청에서는 정보시스템 도입 시 악성코드 점검, 시스템 구성 유효성 등 보안성 검증절차를 철저하게 지키고 있다. 아무리 신뢰할 수 있는 업체에서 제공하는 장비라 할지라도 제로 트러스트의 관점에서 아무것도 신뢰하지 않고 잠재적인 위협이 있다고 간주하고 장비내 악성코드 등 보안 이상여부를 항상 확인 및 점검하고 있다.

또한, 장비에 대한 CC인증, 보안기능확인서 등 국가정보원의 안전성 검증을 받은 제품, GS인증을 획득했거나, 조달청에서 사전검증한 제품, TTA(한국정보통신기술협회) 인가 제품 등과 같이 사전 검증된 제품만을 도입하며, 실제로 시스템을 운영하기 전에 일정 기간 동안 하드웨어 안전성 등을 위해 보안‧기능검토 등 안정화 과정을 거친다. 정보화 사업을 추진시에 도입되는 장비에 대한 보안취약점 점검‧조치를 의무화하고, 사업 내용에 따라 SW 개발보안 및 개인정보 영향평가 등을 시행하고 있다. 또한 시스템 영향도가 높거나 보안성이 요구되는 사업의 경우 사전에 국가정보원의 현장 보안성 검토를 받고 그 결과에 따라 추진하게 된다.

최근 공급망을 통한 보안이슈가 부각되고는 있지만 보안사고는 사실상 어떤 분야든 예외가 없다. 안전하다고 생각되는 모든 부분에 대해 다시 한번 점검하고 또 확인해야 한다. 그만큼 많은 세심한 주의가 필요하다. 끝으로 이 모든 것들을 위해, 유비무환의 마음가짐으로, 병무청 직원들 및 정보보호 담당자들의 지속적인 노력을 당부드린다.