보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | [협회 전문위원] 軍, 공급망 보안 능력을 길러라 [전자신문 3월 19일자 26면_열린마당 전문기자칼럼]
아이디 | admin
날  짜 | 2018-03-19
조  회 | 1337

[전문기자 칼럼] 군, 공급망 보안 능력을 길러라

2016년 9월 국방부 국방망 해킹 사태가 발생했다. 이듬해 5월 군 검찰은 해킹 사고 원인으로 백신 납품업체와 국방통합데이터센터 시공업체를 지목했다. 국방부는 지난해 10월 전산망 시공사와 백신사 상대로 50억원 규모의 손해배상 청구 소송을 냈다. 백신 개발사는 최근 조달부적격 기업 명단에 이름을 올렸다. 국방망 해킹 사건 관련 징계 및 후속 조치가 1년째 끌고 있다. 

이런 가운데 황당한 계약이 이뤄졌다. 국방부는 군 검찰이 해킹 원인으로 지목한 백신사와 다시 공급 계약을 맺은 것이다. 일반 상식으로는 이해가 되지 않는다. 해당 기업 때문에 사고가 났다며 민사소송에다 행정 조치까지 내렸는데 다시 손을 잡은 것이다. 백신사는 최근 조달청 부정당 기업으로 등록됐다. 국방부와 백신사가 다시 공급 계약을 맺은 지 한 달 만이다. 다른 기관은 백신 재계약을 할 수 없게 됐다. 국방부는 한 달 전에 계약해서 문제가 없다는 입장이다. 백신사는 행정 조치가 내려지자 곧바로 효력정지 가처분 신청을 냈고, 이는 받아들여졌다. 

GettyImagesBank
<GettyImagesBank>

국방부는 2016년 12월 국회 국방위원회에 “북한의 진화하는 해킹 기술에 대한 백신 체계 구축과 관리가 미흡했다”면서 “백신 체계를 전면 교체한다”고 밝혔다. 대응책을 내놓은 지 1년여 만에 반쪽짜리 백신을 교체하고 있다. 국방망(내부망)과 인터넷망(외부망)에 서로 다른 백신을 쓰는 형태다. 전문가들은 백신을 두 가지 쓴다고 해서 보안성이 높아지는 건 아니라고 입을 모았다. 

국방부는 백신 체계 구축을 미룰 수 없다고 판단, 성능 평가 충족 제품을 정상 계약 절차에 따라 선정했다고 설명했다. 해킹 사건 소송은 법리 판단에 맡긴다는 입장이다. 이해가 안 되는 이중 잣대다. 

국방망 해킹이 발생하기 전인 2014년에 해당 백신사가 바이러스 방역 체계를 구축할 때도 성능 평가를 했을 것이다. 도입한 제품에 취약점이 있었고, 이를 해커가 이용했다. 모든 소프트웨어(SW) 제품에는 취약점이 있다. 마이크로소프트(MS)·구글·애플·어도비 등 글로벌 정보기술(IT) 기업 제품에도 취약점이 발견되고, 해킹에 악용된다. 해커는 '공급망 공격' 표적으로 삼은 기업과 기관에 침투한다. 

공급망 공격이란 기업이나 기관에 SW나 하드웨어(HW)를 공급하는 과정에서 침투, 제품을 악의로 변조하거나 내부에 악성코드를 숨기는 해킹 형태다. 국방부 백신 공급사도 공급망 공격을 받았다. 국방부에 백신을 공급한 기업은 해커의 주요 표적이다.

국방부 백신 사업자 가운데 해커 공격을 받지 않는 곳이 없다. 백신사가 국방부 사업을 꺼리는 이유다. 국방부 백신사는 소송에도 대비해야 한다. 독이 든 성배란 말이 딱 어울린다. 사이버 철책을 지키는 물자를 납품한 뒤 해킹 사고가 발생하면 책임을 져야 한다. 철책에 틈이 생겨 적이 구멍을 벌여서 넘어오면 철책 공급사가 책임지는 구조다.

백신 공급사는 군에 백신을 설치하고 관리하며, 50억원대 민사소송과 행정소송까지 해야 한다. 이 회사가 국방부 백신 사업에 최선을 다할 수 있는 상황인지는 의문이다. 직원 120명 규모의 중소기업이 감당하기에 사안은 쉽지 않아 보인다. 백신 업체를 두둔하는 게 아니다. 백신 개발사도 스스로를 보호하고 신뢰성 높은 제품을 만들어야 한다.

중요한 것은 국방부 검증 능력이다. 국방부가 국가 주요 기밀을 다루는 군에 들어가는 제품의 신뢰성과 안전성을 검증할 충분한 능력을 갖췄는지 묻고 싶다. 제품 개발부터 생산, 유통, 유지보수, 폐기에 이르는 전 과정을 검증하고 관리하는 체계를 갖추고 난 뒤 백신을 다시 도입했는지를 묻지 않을 수 없다. 

군은 모든 것을 자급자족할 수 없는 구조다. 백신을 넘어 군으로 들어가는 모든 IT 기기와 SW가 제2, 제3의 국방망 해킹 사고의 통로가 될 수 있다. 그때마다 기업 대상을 소송을 할 것인가. 군은 스스로 납품업체와 제품 개발, 배포 프로세스, 운영 관리 실태를 종합 평가할 능력을 길러야 한다. 


김인순 보안 전문기자 insoon@etnews.com 

목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 1295
561 페이스북, 6억개 계정 '비밀번호' 암호화없이 노출 [.. 관리자 2019-03-22 15
560 사이버범죄 그룹 'TA505'에 한국 기업 당했다 [전자신.. 관리자 2019-03-22 15
559 국내 기업 10곳 가운데 6곳, "APT 공격 당했다" [전자신문 Etnew.. 관리자 2019-03-21 14
558 북한 정부 지원 사이버공격, 갈수록 거세진다 [전자신문 Etnews .. 관리자 2019-03-21 18
557 정보보안업계 '융합보안' 강화 시동...KISIA '융.. 관리자 2019-03-21 17
556 2000년대 중반 이후 본격화된 '사회기반시설' 공격 [.. 관리자 2019-03-20 24
555 '산업제어시스템(ICS)' 보안 위험수위..."국가 근간 .. 관리자 2019-03-20 22
554 2018년 채굴악성코드↑ 랜섬웨어↓ [전자신문 Etnews 3월 19일자.. 관리자 2019-03-20 23
553 미라이봇넷, 기업용 디스플레이 시스템까지 노린다 [전자신문 Et.. 관리자 2019-03-20 20
552 모바일 백신 프로그램 3분의 2가 '무용지물' [전자신.. 관리자 2019-03-18 27
551 프린터는 "문서·출력 저장 플랫폼"...업계 보안 강화에 방점 [.. 관리자 2019-03-18 23
550 신종 모바일 애드웨어 발견...앱 200여개 감염 [전자신문 Etnews.. 관리자 2019-03-18 27
549 알파고 이후 3년…'AI 번역' 새 주인공...AI닥터 시대.. 관리자 2019-03-13 44
548 갠드크랩 랜섬웨어 이용하는 신규 공격자 등장 [전자신문 Etnew.. 관리자 2019-03-13 44
547 쿤텍, IoT 취약점 진단 솔루션 선보인다 [전자신문 Etnews 3월 1.. 관리자 2019-03-13 47
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265