보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | [협회 전문위원] 軍, 공급망 보안 능력을 길러라 [전자신문 3월 19일자 26면_열린마당 전문기자칼럼]
아이디 | admin
날  짜 | 2018-03-19
조  회 | 181

[전문기자 칼럼] 군, 공급망 보안 능력을 길러라

2016년 9월 국방부 국방망 해킹 사태가 발생했다. 이듬해 5월 군 검찰은 해킹 사고 원인으로 백신 납품업체와 국방통합데이터센터 시공업체를 지목했다. 국방부는 지난해 10월 전산망 시공사와 백신사 상대로 50억원 규모의 손해배상 청구 소송을 냈다. 백신 개발사는 최근 조달부적격 기업 명단에 이름을 올렸다. 국방망 해킹 사건 관련 징계 및 후속 조치가 1년째 끌고 있다. 

이런 가운데 황당한 계약이 이뤄졌다. 국방부는 군 검찰이 해킹 원인으로 지목한 백신사와 다시 공급 계약을 맺은 것이다. 일반 상식으로는 이해가 되지 않는다. 해당 기업 때문에 사고가 났다며 민사소송에다 행정 조치까지 내렸는데 다시 손을 잡은 것이다. 백신사는 최근 조달청 부정당 기업으로 등록됐다. 국방부와 백신사가 다시 공급 계약을 맺은 지 한 달 만이다. 다른 기관은 백신 재계약을 할 수 없게 됐다. 국방부는 한 달 전에 계약해서 문제가 없다는 입장이다. 백신사는 행정 조치가 내려지자 곧바로 효력정지 가처분 신청을 냈고, 이는 받아들여졌다. 

GettyImagesBank
<GettyImagesBank>

국방부는 2016년 12월 국회 국방위원회에 “북한의 진화하는 해킹 기술에 대한 백신 체계 구축과 관리가 미흡했다”면서 “백신 체계를 전면 교체한다”고 밝혔다. 대응책을 내놓은 지 1년여 만에 반쪽짜리 백신을 교체하고 있다. 국방망(내부망)과 인터넷망(외부망)에 서로 다른 백신을 쓰는 형태다. 전문가들은 백신을 두 가지 쓴다고 해서 보안성이 높아지는 건 아니라고 입을 모았다. 

국방부는 백신 체계 구축을 미룰 수 없다고 판단, 성능 평가 충족 제품을 정상 계약 절차에 따라 선정했다고 설명했다. 해킹 사건 소송은 법리 판단에 맡긴다는 입장이다. 이해가 안 되는 이중 잣대다. 

국방망 해킹이 발생하기 전인 2014년에 해당 백신사가 바이러스 방역 체계를 구축할 때도 성능 평가를 했을 것이다. 도입한 제품에 취약점이 있었고, 이를 해커가 이용했다. 모든 소프트웨어(SW) 제품에는 취약점이 있다. 마이크로소프트(MS)·구글·애플·어도비 등 글로벌 정보기술(IT) 기업 제품에도 취약점이 발견되고, 해킹에 악용된다. 해커는 '공급망 공격' 표적으로 삼은 기업과 기관에 침투한다. 

공급망 공격이란 기업이나 기관에 SW나 하드웨어(HW)를 공급하는 과정에서 침투, 제품을 악의로 변조하거나 내부에 악성코드를 숨기는 해킹 형태다. 국방부 백신 공급사도 공급망 공격을 받았다. 국방부에 백신을 공급한 기업은 해커의 주요 표적이다.

국방부 백신 사업자 가운데 해커 공격을 받지 않는 곳이 없다. 백신사가 국방부 사업을 꺼리는 이유다. 국방부 백신사는 소송에도 대비해야 한다. 독이 든 성배란 말이 딱 어울린다. 사이버 철책을 지키는 물자를 납품한 뒤 해킹 사고가 발생하면 책임을 져야 한다. 철책에 틈이 생겨 적이 구멍을 벌여서 넘어오면 철책 공급사가 책임지는 구조다.

백신 공급사는 군에 백신을 설치하고 관리하며, 50억원대 민사소송과 행정소송까지 해야 한다. 이 회사가 국방부 백신 사업에 최선을 다할 수 있는 상황인지는 의문이다. 직원 120명 규모의 중소기업이 감당하기에 사안은 쉽지 않아 보인다. 백신 업체를 두둔하는 게 아니다. 백신 개발사도 스스로를 보호하고 신뢰성 높은 제품을 만들어야 한다.

중요한 것은 국방부 검증 능력이다. 국방부가 국가 주요 기밀을 다루는 군에 들어가는 제품의 신뢰성과 안전성을 검증할 충분한 능력을 갖췄는지 묻고 싶다. 제품 개발부터 생산, 유통, 유지보수, 폐기에 이르는 전 과정을 검증하고 관리하는 체계를 갖추고 난 뒤 백신을 다시 도입했는지를 묻지 않을 수 없다. 

군은 모든 것을 자급자족할 수 없는 구조다. 백신을 넘어 군으로 들어가는 모든 IT 기기와 SW가 제2, 제3의 국방망 해킹 사고의 통로가 될 수 있다. 그때마다 기업 대상을 소송을 할 것인가. 군은 스스로 납품업체와 제품 개발, 배포 프로세스, 운영 관리 실태를 종합 평가할 능력을 길러야 한다. 


김인순 보안 전문기자 insoon@etnews.com 

목록보기
번호 제목 작성자 등록일 조회
"블록체인, 스마트시티 보안 해결 열쇠"…IT리더스포럼 개최 [.. 관리자 2018-04-18 12
132 천사·악마 두 얼굴 매크로…"AI로 달래야" [전자신문 Etnews 2.. 관리자 2018-04-19 9
131 [KAIST 블록체인 토론회]'블록체인 규제에서 육성으로...4.. 관리자 2018-04-19 8
130 [미래포럼]기로에 선 블록체인 기술 [전자신문 Etnews 4월 17일.. 관리자 2018-04-18 13
129 [대한민국 과학자]윤천주 ETRI 광통신부품연구그룹 박사 [전자신.. 관리자 2018-04-16 20
128 [공공솔루션마켓 2018] 차세대 성장 동력 핵심 '양자암호통.. 관리자 2018-04-16 19
127 1조 7000억 재난안전통신망 사업, 통신공사업계에 ‘단.. 관리자 2018-04-11 41
126 암호화폐와 블록체인의 미래 [도산아카데미 제 327호 2018 03] 관리자 2018-03-28 176
125 미래네트워크시험선도망, 양자암호통신 장착···공공망 적용 .. 관리자 2018-03-28 178
124 빅데이터, 암호화 된 그대로 분석… 개인정보 유출 원천차단 [.. 관리자 2018-03-23 171
[협회 전문위원] 軍, 공급망 보안 능력을 길러라 [전자.. 관리자 2018-03-19 182
122 원전 EMP 영향평가, 새로운 방호기준 연내 도출.. 관리자 2018-03-19 184
121 국가 차원의 EMP 방호대책 실행돼야 [정보통신신문 912호_2018.3.. 관리자 2018-03-15 238
120 [ET단상]정보보안 컨트롤타워가 시급하다 [전자신문 etn.. 관리자 2018-01-09 467
119 [특별기고]미래 국가 경제 경쟁력은 소프트웨어(SW) [전자신문 e.. 관리자 2018-01-02 504
118 현실로 다가온 전자기파(EMP) 공격과 방호 [전자신문 Etnews 12.. 관리자 2017-12-22 722
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265