|
DRM `무용지물`로 9년간 방치…“이해할 수 없는 조치”
방위사업청이 지난달 4일부터 이달 12일까지 실시한 국방과학연구소의 방위산업기술보호 실태 감사 관련 결과 발표에 따르면 자체 기술자료 유출 예방을 위한 체계가 구축돼 있지 않았다. 국방과학연구소는 2006년 9월 자료 무단반출을 방지하기 위해 전자파일을 자동으로 암호화하는 DRM 2.0 버전을 도입한 이후, 2011년 DRM 4.0버전으로 업그레이드한 것이 마지막이었다. 최신 버전인 DRM 5.0으로의 업그레이드를 실시하지 않음에 따라 한글문서(HWP), 파워포인트(PPT), 워드(DOC) 문서 등에만 DRM 솔루션이 적용되고, 그 외 중요 파일인 엑셀과 도면, 소스코드, 실험 데이터 등은 문서암호화가 이뤄지지 않고 있었다.
DRM 사업을 영위하는 업계 관계자는 “통상적으로 1년에 3~4번 DRM 솔루션을 업그레이드한다. 자체 프로그램의 상위 버전이 나오거나 운영체제(OS)를 업데이트할 때마다 DRM 솔루션도 업그레이드해줘야 한다”며 “이전에는 파악하지 못했던 보안홀들이 계속 생기는데 솔루션 업그레이드를 해주지 않으면 이를 막을 수 없다”고 설명했다.
군은 특성상 자체 개발 프로그램을 주로 사용하고 네트워크가 복잡해 외부 제품과 연동할 경우 호환성 문제가 발생하는 경우가 잦다. ADD의 경우도 보안 담당자가 엑셀·도면·소스코드 등에 DRM을 적용하면 충돌이 일어나 아예 업그레이드를 실시하지 않았을 가능성도 제기된다.
또 다른 보안업계 관계자도 “DRM 솔루션을 제공한 보안업체 입장에서도 유지보수 매출을 발생시키기 위해 업그레이드를 권할텐데 ADD는 여러모로 특이한 경우”라고 갸우뚱했다.
60% 넘게 DLP 미설치…“접속기록 확인·통제도 제대로 이뤄지지 않아”
ADD는 연구소 내 통합 전산망에서 분리된 연구시험용 PC 중 4278대(62%)가 DLP가 설치돼 있지 않았던 것으로 조사됐다. 게다가 정보자산으로 등록조차 되지 않고 운영하는 연구시험용 PC도 감사과정에서 2416대(35%)가 발견됐다. 특히 퇴직 전 다량의 군사자료를 휴대용 저장장치(USB메모리)로 옮긴 뒤 외국으로 출국한 전직 수석연구원 2명은 DLP에 각각 35만건, 8만건의 접속 흔적을 남기기도 했다.
DLP를 다루는 보안업체 관계자는 “DLP는 각 기관의 특성에 맞춰 보안 담당자가 세부적인 외부유출 기준을 설정하고, 이 기준 이상 외부로 전송되는 것을 막는다”며 “반드시 나가야 되는 정보는 상부의 승인을 받게끔 한다. 일일이 승인받기 귀찮을 경우 차단을 해제하는 대신 보안 담당자가 주기적으로 접속 기록을 확인하고 통제해야 하는데, 이런 절차가 제대로 이뤄지지 않은 것으로 보인다”고 진단했다.
ADD는 자료유출 보안대책을 내놓으며 DRM 솔루션과 DLP 고도화를 통해 암호화 범위를 확대하고 자료유출 이상 징후를 추적하겠다고 밝혔다. 우선조치로 DRM 해제 권한을 차상위 부서장으로 상향 조정하고 DRM과 DLP 전수 조사를 실시하기로 했다. 또 퇴직예정자의 DRM과 DLP 주기적 점검을 실시하고, 퇴직 후 2년간 하드디스크드라이브(HDD)를 별도 보관하기로 했다.