연구시험PC 62% ‘정보유출방지시스템’ 없었다

방위사업청, USB 사용기록 전수 조사
수석연구원 2명 퇴직 전 자료 대량 복사
보안관리 총괄부서 3년간 보안 점검 ‘0’
기술 보호 부서는 유출 알고도 눈 감아

핵심 군사 기밀을 다루는 국방과학연구소(ADD)에서 기밀 자료가 대량으로 유출된 것으로 25일 확인됐다. 퇴직 예정자들이 이동식저장장치(USB)에 대량의 기밀 자료를 내려받았지만, ADD는 관련 사실을 파악조차 못해 보안 시스템이 “동네 구멍가게보다 못하다”는 지적이 나온다.

ADD 감독 기관인 방위사업청은 이날 2016년 1월부터 지난 4월까지 ADD 퇴직자 1079명과 재직자에 대한 USB 사용기록을 전수조사한 결과 전직 수석연구원 2명이 퇴직 전 대량의 기밀자료를 USB나 외장하드 등에 옮긴 뒤 출국한 것으로 확인돼 경찰에 수사를 의뢰했다고 밝혔다. 이들이 쉽게 기밀을 외부로 가져갈 수 있었던 것은 ADD 보안 시스템이 심각한 허점을 가지고 있었기 때문이다. 방사청 감사 결과 전체 연구시험용 PC의 62%에 해당하는 4287대에 ‘정보유출방지시스템’이 설치되지 않았다. PC에 USB나 외장하드를 연결하면 이를 감지하는 시스템이 거의 먹통이었던 셈이다. 이들은 무단 반입되거나 관리가 허술해 시스템 설치가 되지 않은 PC로 자료를 내려받았다.

2006년 도입한 ‘문서암호화체계’도 한글 문서(HWP) 등 일부 형식에만 적용돼 엑셀, 실험 데이터 등의 문서는 암호화 처리가 되지 않아 USB에 복사 및 열람이 가능했다. 이 밖에 연구소는 보안검색대와 보안요원을 운용하지 않았다.

또 퇴직 예정자에 대한 보안점검 규정이 있었음에도 ADD 내 보안관리 총괄부서는 지난 3년간 단 한 차례도 보안점검을 하지 않았다. 국방기술 보호 업무를 총괄하는 부서는 퇴직자의 자료 유출 사실을 알고도 눈을 감아줬다.

이번 감사가 ‘맹탕 감사’라는 지적도 나온다. ADD는 퇴직자들이 빼돌린 기밀이 구체적으로 어떤 것인지 식별하지 못하고 있다. 지난 4월 이미 기밀 유출 혐의로 경찰 수사가 진행 중인 퇴직 연구원까지 합하면 약 100만건의 로그 기록(파일을 열람하거나 저장할 때 남는 기록)이 발견됐다. 한편 ADD가 방산 비리를 척결한다며 퇴직자 취업제한책을 내놨지만 오히려 방산업체 등에 재취업할 수 있는 ‘꼼수’로 활용된 것으로 드러났다. 감사원이 이날 공개한 ‘국방과학연구소 기관운영감사 보고서’에 따르면 ADD는 취업제한 대상을 본부장 이상에서 팀장급 이상으로 확대했지만 취업제한 기간(3년) ‘무보직자’는 유관 기관 취업제한 대상에서 제외한 것으로 확인됐다.

감사 결과 2014∼2019년 ADD 본부장급 퇴직자 12명 중 8명은 특정 직위에서 물러난 뒤 3년 이상 무보직 연구원 등으로 재직하다 퇴직한 후 5명이 방산업체 등 업무 연관성이 있는 곳에 취업했다. 팀장급 이상 퇴직자 156명 가운데 83.3%인 130명이 ‘무보직 근무’를 통해 취업제한 대상에서 벗어났다.

이주원 기자 starjuwon@seoul.co.kr
최광숙 선임기자 bori@seoul.co.kr