보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | [협회 전문위원] 軍, 공급망 보안 능력을 길러라 [전자신문 3월 19일자 26면_열린마당 전문기자칼럼]
아이디 | admin
날  짜 | 2018-03-19
조  회 | 429

[전문기자 칼럼] 군, 공급망 보안 능력을 길러라

2016년 9월 국방부 국방망 해킹 사태가 발생했다. 이듬해 5월 군 검찰은 해킹 사고 원인으로 백신 납품업체와 국방통합데이터센터 시공업체를 지목했다. 국방부는 지난해 10월 전산망 시공사와 백신사 상대로 50억원 규모의 손해배상 청구 소송을 냈다. 백신 개발사는 최근 조달부적격 기업 명단에 이름을 올렸다. 국방망 해킹 사건 관련 징계 및 후속 조치가 1년째 끌고 있다. 

이런 가운데 황당한 계약이 이뤄졌다. 국방부는 군 검찰이 해킹 원인으로 지목한 백신사와 다시 공급 계약을 맺은 것이다. 일반 상식으로는 이해가 되지 않는다. 해당 기업 때문에 사고가 났다며 민사소송에다 행정 조치까지 내렸는데 다시 손을 잡은 것이다. 백신사는 최근 조달청 부정당 기업으로 등록됐다. 국방부와 백신사가 다시 공급 계약을 맺은 지 한 달 만이다. 다른 기관은 백신 재계약을 할 수 없게 됐다. 국방부는 한 달 전에 계약해서 문제가 없다는 입장이다. 백신사는 행정 조치가 내려지자 곧바로 효력정지 가처분 신청을 냈고, 이는 받아들여졌다. 

GettyImagesBank
<GettyImagesBank>

국방부는 2016년 12월 국회 국방위원회에 “북한의 진화하는 해킹 기술에 대한 백신 체계 구축과 관리가 미흡했다”면서 “백신 체계를 전면 교체한다”고 밝혔다. 대응책을 내놓은 지 1년여 만에 반쪽짜리 백신을 교체하고 있다. 국방망(내부망)과 인터넷망(외부망)에 서로 다른 백신을 쓰는 형태다. 전문가들은 백신을 두 가지 쓴다고 해서 보안성이 높아지는 건 아니라고 입을 모았다. 

국방부는 백신 체계 구축을 미룰 수 없다고 판단, 성능 평가 충족 제품을 정상 계약 절차에 따라 선정했다고 설명했다. 해킹 사건 소송은 법리 판단에 맡긴다는 입장이다. 이해가 안 되는 이중 잣대다. 

국방망 해킹이 발생하기 전인 2014년에 해당 백신사가 바이러스 방역 체계를 구축할 때도 성능 평가를 했을 것이다. 도입한 제품에 취약점이 있었고, 이를 해커가 이용했다. 모든 소프트웨어(SW) 제품에는 취약점이 있다. 마이크로소프트(MS)·구글·애플·어도비 등 글로벌 정보기술(IT) 기업 제품에도 취약점이 발견되고, 해킹에 악용된다. 해커는 '공급망 공격' 표적으로 삼은 기업과 기관에 침투한다. 

공급망 공격이란 기업이나 기관에 SW나 하드웨어(HW)를 공급하는 과정에서 침투, 제품을 악의로 변조하거나 내부에 악성코드를 숨기는 해킹 형태다. 국방부 백신 공급사도 공급망 공격을 받았다. 국방부에 백신을 공급한 기업은 해커의 주요 표적이다.

국방부 백신 사업자 가운데 해커 공격을 받지 않는 곳이 없다. 백신사가 국방부 사업을 꺼리는 이유다. 국방부 백신사는 소송에도 대비해야 한다. 독이 든 성배란 말이 딱 어울린다. 사이버 철책을 지키는 물자를 납품한 뒤 해킹 사고가 발생하면 책임을 져야 한다. 철책에 틈이 생겨 적이 구멍을 벌여서 넘어오면 철책 공급사가 책임지는 구조다.

백신 공급사는 군에 백신을 설치하고 관리하며, 50억원대 민사소송과 행정소송까지 해야 한다. 이 회사가 국방부 백신 사업에 최선을 다할 수 있는 상황인지는 의문이다. 직원 120명 규모의 중소기업이 감당하기에 사안은 쉽지 않아 보인다. 백신 업체를 두둔하는 게 아니다. 백신 개발사도 스스로를 보호하고 신뢰성 높은 제품을 만들어야 한다.

중요한 것은 국방부 검증 능력이다. 국방부가 국가 주요 기밀을 다루는 군에 들어가는 제품의 신뢰성과 안전성을 검증할 충분한 능력을 갖췄는지 묻고 싶다. 제품 개발부터 생산, 유통, 유지보수, 폐기에 이르는 전 과정을 검증하고 관리하는 체계를 갖추고 난 뒤 백신을 다시 도입했는지를 묻지 않을 수 없다. 

군은 모든 것을 자급자족할 수 없는 구조다. 백신을 넘어 군으로 들어가는 모든 IT 기기와 SW가 제2, 제3의 국방망 해킹 사고의 통로가 될 수 있다. 그때마다 기업 대상을 소송을 할 것인가. 군은 스스로 납품업체와 제품 개발, 배포 프로세스, 운영 관리 실태를 종합 평가할 능력을 길러야 한다. 


김인순 보안 전문기자 insoon@etnews.com 

목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 13
222 채굴 or 랜섬웨어 '악성코드가 PC 상태 따져 다른 기능 수.. 관리자 2018-07-11 40
221 북미정상회담 이후 사이버 공격 양상 변화와 대응 [보안칼럼] [.. 관리자 2018-07-04 63
220 무인 편의점에 숨겨진 보안 기술은?[전자신문 Etnews 7월1일자.. 관리자 2018-07-02 59
219 인간 행동 이해와 AI [전자신문 Etnews 7월1일자_전자신문 2018.. 관리자 2018-07-02 54
218 다양한 보안규정 지원..GDPR까지 대응 'MISO' [전자신.. 관리자 2018-06-28 66
217 "4차 산업혁명 표준, 집단지성으로 대응해야" [전자신문 Etnews .. 관리자 2018-06-28 74
216 사이버쇼핑시대에 대비하자 [사설] [전자신문 Etnews 6월27일자_.. 관리자 2018-06-28 70
215 BIS, 블록체인 부정 전망 쏟아내..."인터넷 마비 大亂 올수도" .. 관리자 2018-06-28 73
214 제2의 스턱스넷?...국내 보안USB로 망분리 무력화하는 공격 발견.. 관리자 2018-06-28 52
213 빅데이터, '보호'에서 '활용'으로 패러다임.. 관리자 2018-06-27 57
212 피싱·알려진 취약점.."공격자는 쉬운 방법으로 해킹한다" [전.. 관리자 2018-06-27 56
211 4차 산업혁명 시대, 사무 현장 대응 방안은?[ET단상] [전자신문.. 관리자 2018-06-27 53
210 앤앤에스피, 스마트공장 보안 문제를 해결 한다 [전자신문 Etn.. 관리자 2018-06-26 61
209 블록체인 이용해 음식물 쓰레기 줄인다 [국제] [전자신문 Etne.. 관리자 2018-06-26 59
208 데이터 중심 도시, 지속 가능한 도시를 위한 제언[ET단상] [전.. 관리자 2018-06-26 63
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265