국방과학연구소(ADD)가 내부자 정보유출로 곤욕을 치른다. 정보유출을 막기 위한 예방책이 있었지만 사실상 개인 판단에 의존하는 구조 결함이 드러났다. 국가 기밀 보호를 위해 처벌 집행과 함께 단속 강화 조치가 필요하다는 지적이 나온다.
ADD는 1970년 자주국방을 목적으로 설립된 국립연구소다. 국가 안보에 필요한 무기와 기술을 연구개발한다. 무기 체계 연구개발과 군용 물자 연구 위탁, 민·군 겸용 기술 개발, 민간 장비 시험 평가 등을 담당한다.
ADD에는 정보유출 방지를 위한 보안성 검토 규정이 있다. 자체 연구로 생산한 자료든 외부에서 유입한 자료든 일단 ADD 내부망으로 들어온 정보는 모두 암호화된다. 이를 외부로 갖고 나가려면 보안성 검토를 통해 복호화해야 한다. 차상위 직위자 결재를 통해 외부로 반출해도 무방한 내용인지 점검하는 절차다.
ADD는 지난해 자체 조사를 통해 인공지능(AI) 연구소로 자리를 옮긴 A씨가 약 68만건 연구자료를 보안성 검토 없이 반출한 사실을 파악했다. A씨를 비롯해 지난해 ADD에서 퇴직한 고위급 연구원 최소 20여명이 다량 정보유출 의혹을 받는다. 유출된 정보에는 드론 같은 무인체계와 미래전에 관련된 각종 기밀이 포함됐다. 군과 국가정보원, 경찰이 합동수사에 착수한 상태다.
A씨를 비롯한 전직 ADD 연구원 수십명은 퇴직을 앞두고 보안성 검토 절차를 무시했다. 결재 없이 암호화된 정보를 자체 복호화하고 반출했다. 복호화 시에는 로그 파일이 남는다. ADD는 이를 통해 지난해 퇴직자 가운데 유난히 복호화 양이 많은 20여명을 수사 선상에 올렸다. 보안성 검토를 지키지 않은 퇴직자는 모두 60여명에 달한다. 로그 파일을 바탕으로 현재 포렌식 수사가 진행 중이다.
ADD 관계자는 “보안성 검토라는 절차가 있었지만 직원 개인이 따르지 않는 이상 미리 파악할 방법이 없었다”면서 “연구소는 이번 일을 매우 엄중하게 여기고 있으며 유사 사고가 재발하지 않도록 제도와 체계 개선방안을 내부적으로 마련하고 있다”고 말했다.
ADD 퇴직 후 한화, LIG넥스원 등 방산업체로 이직한 이들이 해당 정보를 어떻게 활용했는지에 따라 합당한 처벌이 이뤄질 전망이다. 보안성 검토 없이 자료를 반출한 자체는 군사보안업무훈령위반에 해당한다. 반출한 자료에 군사 기밀이 포함된 경우에는 군사비밀보호법 적용을 받는다. 설계 등 기술유출에 관한 자료라면 방산기술보호법이 적용된다.
류연승 명지대 교수는 “내부자에 의한 정보유출을 막으려면 기관 내 PC를 저장장치가 없는 씬 클라이언트나 클라우드 서버 시스템으로 구축하는 방안을 생각해볼 수 있다”면서 “이를 통해 개인 PC에서 반출할 수 있는 기술 자료 자체를 최소화해야 한다”고 말했다. 이어 “임직원 퇴직 시에는 반입출 물품을 철저히 감독하고 기술보호서약서를 받아 부정행위를 금지해야 한다”고 덧붙였다.
오다인기자 ohdain@etnews.com