2016년 9월 국방부 국방망 해킹 사태가 발생했다. 이듬해 5월 군 검찰은 해킹 사고 원인으로 백신 납품업체와 국방통합데이터센터 시공업체를 지목했다. 국방부는 지난해 10월 전산망 시공사와 백신사 상대로 50억원 규모의 손해배상 청구 소송을 냈다. 백신 개발사는 최근 조달부적격 기업 명단에 이름을 올렸다. 국방망 해킹 사건 관련 징계 및 후속 조치가 1년째 끌고 있다.
이런 가운데 황당한 계약이 이뤄졌다. 국방부는 군 검찰이 해킹 원인으로 지목한 백신사와 다시 공급 계약을 맺은 것이다. 일반 상식으로는 이해가 되지 않는다. 해당 기업 때문에 사고가 났다며 민사소송에다 행정 조치까지 내렸는데 다시 손을 잡은 것이다. 백신사는 최근 조달청 부정당 기업으로 등록됐다. 국방부와 백신사가 다시 공급 계약을 맺은 지 한 달 만이다. 다른 기관은 백신 재계약을 할 수 없게 됐다. 국방부는 한 달 전에 계약해서 문제가 없다는 입장이다. 백신사는 행정 조치가 내려지자 곧바로 효력정지 가처분 신청을 냈고, 이는 받아들여졌다.
국방부는 2016년 12월 국회 국방위원회에 “북한의 진화하는 해킹 기술에 대한 백신 체계 구축과 관리가 미흡했다”면서 “백신 체계를 전면 교체한다”고 밝혔다. 대응책을 내놓은 지 1년여 만에 반쪽짜리 백신을 교체하고 있다. 국방망(내부망)과 인터넷망(외부망)에 서로 다른 백신을 쓰는 형태다. 전문가들은 백신을 두 가지 쓴다고 해서 보안성이 높아지는 건 아니라고 입을 모았다.
국방부는 백신 체계 구축을 미룰 수 없다고 판단, 성능 평가 충족 제품을 정상 계약 절차에 따라 선정했다고 설명했다. 해킹 사건 소송은 법리 판단에 맡긴다는 입장이다. 이해가 안 되는 이중 잣대다.
국방망 해킹이 발생하기 전인 2014년에 해당 백신사가 바이러스 방역 체계를 구축할 때도 성능 평가를 했을 것이다. 도입한 제품에 취약점이 있었고, 이를 해커가 이용했다. 모든 소프트웨어(SW) 제품에는 취약점이 있다. 마이크로소프트(MS)·구글·애플·어도비 등 글로벌 정보기술(IT) 기업 제품에도 취약점이 발견되고, 해킹에 악용된다. 해커는 '공급망 공격' 표적으로 삼은 기업과 기관에 침투한다.
공급망 공격이란 기업이나 기관에 SW나 하드웨어(HW)를 공급하는 과정에서 침투, 제품을 악의로 변조하거나 내부에 악성코드를 숨기는 해킹 형태다. 국방부 백신 공급사도 공급망 공격을 받았다. 국방부에 백신을 공급한 기업은 해커의 주요 표적이다.
국방부 백신 사업자 가운데 해커 공격을 받지 않는 곳이 없다. 백신사가 국방부 사업을 꺼리는 이유다. 국방부 백신사는 소송에도 대비해야 한다. 독이 든 성배란 말이 딱 어울린다. 사이버 철책을 지키는 물자를 납품한 뒤 해킹 사고가 발생하면 책임을 져야 한다. 철책에 틈이 생겨 적이 구멍을 벌여서 넘어오면 철책 공급사가 책임지는 구조다.
백신 공급사는 군에 백신을 설치하고 관리하며, 50억원대 민사소송과 행정소송까지 해야 한다. 이 회사가 국방부 백신 사업에 최선을 다할 수 있는 상황인지는 의문이다. 직원 120명 규모의 중소기업이 감당하기에 사안은 쉽지 않아 보인다. 백신 업체를 두둔하는 게 아니다. 백신 개발사도 스스로를 보호하고 신뢰성 높은 제품을 만들어야 한다.
중요한 것은 국방부 검증 능력이다. 국방부가 국가 주요 기밀을 다루는 군에 들어가는 제품의 신뢰성과 안전성을 검증할 충분한 능력을 갖췄는지 묻고 싶다. 제품 개발부터 생산, 유통, 유지보수, 폐기에 이르는 전 과정을 검증하고 관리하는 체계를 갖추고 난 뒤 백신을 다시 도입했는지를 묻지 않을 수 없다.
군은 모든 것을 자급자족할 수 없는 구조다. 백신을 넘어 군으로 들어가는 모든 IT 기기와 SW가 제2, 제3의 국방망 해킹 사고의 통로가 될 수 있다. 그때마다 기업 대상을 소송을 할 것인가. 군은 스스로 납품업체와 제품 개발, 배포 프로세스, 운영 관리 실태를 종합 평가할 능력을 길러야 한다.
김인순 보안 전문기자 insoon@etnews.com