한국항공우주산업(KAI)이 해킹 당한 ‘진짜’ 이유 알고 해법 강구해야
한국의 방위산업이 새로운 활로를 찾기 위해 고군분투하고 있다. 방위사업청은 방위산업이 처한 현실을 극복하기 위해 지속적인 제도 개선과 함께 법규 제·개정도 추진 중이다. 그럼에도 방위사업 전반에 다양한 문제들이 작용해 산업 발전을 저해하고 있다. 뉴스투데이는 제도개선 효과와 함께 이런 문제들을 심층 진단하는 [방산 이슈 진단] 시리즈를 시작한다. <편집자 주>
■ 하태경 의원, “KAI 해킹, VPN 취약점 통해 침입한 것으로 추정”
[뉴스투데이=김한경 안보전문기자] 지난 1일 국민의힘 하태경 의원은 국회 기자회견을 통해 한국형 전투기(KF-21)를 제작하는 한국항공우주산업(KAI)이 6월 16일 국가정보원으로부터 해킹 사실을 전달받고 긴급 조치를 취한 사실을 전했다.
하 의원은 해킹 경로와 관련, “가상사설망(VPN) 취약점을 통해 침입한 것으로 추정하고 있고, 공격자는 내부 직원의 비밀번호를 알아내 접근한 것으로 보인다”는 보고를 받았다고 밝혔다. 또 방위사업청(이하 방사청)은 “직원 개인의 해킹인지 조직 내부망 해킹인지 판단하기 어렵고, 다른 방산업체 해킹 여부는 업체 정보 노출 우려 때문에 확답하기 어렵다”고 답했다고 한다.
하 의원은 북한 정찰총국 산하 해커조직인 ‘김수키’의 소행으로 추정하면서 방사청의 ‘확답하기 어렵다’는 표현을 두고 “사실상 추가 피해 가능성을 시인한 것”이라며 “정부가 사태의 심각성을 고려해 국가 사이버 테러 비상사태를 선포해야 한다”고 주장했다. KAI는 현재 수사기관이 수사 중이라며 언론의 질의에 ‘답변할 수 없다’는 입장을 보이고 있다.
■ 방산업체, 물리적 망분리 했지만 업무 환경 고려해 VPN 허용
방산업체는 과거에도 북한의 해킹 공격을 받아 국방부는 2016년 12월 방위산업보안업무훈령을 개정하면서 물리적 망분리 시스템을 구축하도록 규정했다. 이후 방산업체들은 많은 비용을 들여 인터넷과 업무망을 물리적으로 분리했다. 그러나 업무 수행 상 불가피하게 업무망을 인터넷과 연결할 경우가 있어 해킹으로부터 안전을 보장받기는 어려웠다.
게다가 방산 대기업은 ERP(Enterprise Resource Planning) 서버까지 물리적으로 분리할 수 없었다. 수백억 원이 드는 ERP 서버 분리 비용을 감당할 수 없는데다, 그렇게 ERP 서버까지 분리하더라도 업무 환경이 인터넷과 접점을 완전히 없앨 수 있는 상황이 아니기 때문이다. 따라서 현재는 ERP 서버와 관련 없는 방산 업무에 한해 물리적 망분리 시스템을 구축했다.
이렇게 물리적 망분리 시스템을 구축했지만 진짜 문제는 다른 곳에서 발생한다. 협력업체가 많거나 국내외에 지사나 지점, 공장 등이 산재돼 있는 방산업체의 경우 이들까지 물리적 망분리를 적용할 수는 없었다. 결국 이런 상황을 해결하기 위해 인터넷을 전송망으로 사용하는 별도의 안전한 접근경로를 만들어줘야 한다.
현재로서는 가상사설망인 VPN(Virtual Private Network)이 유일한 수단이다. VPN은 인터넷 상에서 보안이 유지되는 별도의 폐쇄망을 가상으로 만드는 기술이지만, VPN 터널을 개통하려면 인터넷에 접속한 후 인증을 받게 돼 보안에 취약한 부분이 존재한다. 이번 KAI의 해킹도 결국 해커가 이런 VPN의 취약점을 노린 것으로 보인다.
방산업체 보안을 지원하는 군사안보지원사령부(이하 안보사)도 ‘물리적 망분리’를 강력히 추진하던 초기에는 VPN 사용을 허락하지 않았다. 그러나 업체가 전용선을 별도로 구축할 수 없는 해외지사 또는 국내 일부 지점 등에서 업무 수행의 애로를 호소하자, 보안측정 과정에서 점차 VPN을 허용하는 분위기로 바뀌었다.
■ VPN 취약점 보완한 신기술 ‘보안인증’이란 걸림돌 넘지 못해
현재 VPN의 취약점을 보완하는 신기술이 적용된 새로운 제품이 일부 나오고는 있으나 보안 방식이 기존과 달라 정부로부터 CC인증이나 보안적합성 검증 같은 보안인증을 제대로 받지 못하고 있다. 신기술이라서 기존 인증 방식을 적용해 평가하는데 한계가 있기 때문이다. 정부의 보안인증을 받지 못한 제품은 정부부처, 군, 방산업체 등에서 사용할 수 없다.
VPN 외에도 방산업체는 방사청 등 정부기관 또는 협력업체와 협업 시 망연계 시스템을 통해 인터넷 메일로 자료를 주고받는다. 이 때 상용 메일의 보안 취약점을 해소하기 위해 ‘협력업체 보안 솔루션’을 운용하지만 다양한 업체들과 자료를 주고받는 협력업체들은 방산업체마다 다른 보안 프로그램을 사용할 경우 충돌이 발생해 제대로 활용되지 않는 실정이다.
결국 현재의 방위산업 환경은 보안 취약성이 있는 VPN 외에 사용 수단이 마땅치 않은 현실에서 정부가 도움을 주기는커녕, 기존 보안인증 방식에 고착돼 이를 해소할 신기술 적용을 막고 있는 형국이다. 일각에서는 보안상 취약함을 알면서도 방산업체의 업무 환경을 고려한다며 VPN 사용을 허용한 것은 책임 회피에 불과하다는 주장도 제기된다.
이런 상황임에도 방산업체 CEO들은 보안 투자에 소극적이고, 방산보안을 담당하는 안보사와 방사청 등 정부기관들은 각자 자신의 입장에서 필요한 최소한의 역할만 하고 있다. 이에 따라 5G 업무 환경에서 첨단 방산기술을 개발하는 방산업체의 비즈니스 요구는 제대로 고려되지 않는다. 업체는 속사정을 털어놓지 못하고 이를 대변할 조직도 적극 나서지 못하는 분위기다.
■ 전문가들, “보안 문제 통합해 이끌고 나갈 별도의 정부 조직 필요”
방산업체 보안을 담당했던 관계자들은 “보안 투자를 비용으로 생각하는 업체 CEO들의 사고가 바뀌어야 한다”고 목소리를 높였다. 이들은 “정부가 어떤 보안 방식을 강제하기 보다는 업체 스스로 보안이 강화되는 방식을 찾아 구비하고 그 결과에 대한 책임도 감당하게 만들어야 CEO들이 보안에 관심을 기울이게 된다”고 주장했다.
대다수 보안전문가들은 “방산업체 보안은 현재 어느 한 부분을 고쳐서 달라질 수 있는 것이 아니므로 보안 문제를 통합해 이끌고 나가는 별도의 정부 조직이 필요하다”며 “방산업체 비즈니스 환경과 보안기술의 발전을 함께 고려하면서 관련 전문가들이 실질적인 해법을 찾아 적용하고 낡은 제도와 법규도 정비하는 노력이 장기간 꾸준히 이뤄져야 한다”고 말한다.
이번 사건도 과거의 해킹 사건들처럼 어느 정도 지나면 북한의 소행 같다는 수사 결과를 대략 발표하고 대책을 강구하겠다는 식의 표현으로 마무리될 가능성이 높다. 하지만 이번에도 이렇게 지나가면 한국 방위산업의 미래는 너무 불안하다. 과거 물리적 망분리 시스템 구축 당시의 미비점을 거울삼아 현실적인 보안 강화 조치가 제대로 이뤄지길 간절히 기대한다.