해킹홍역 치르고도...국방망 백신 '땜질 처방'

국방부가 내부망(국방망)에서 쓰는 백신을 여전히 외부망(인터넷망)에서 사용하고 있는 것으로 나타났다. 외부망 백신(맥아피) 설치가 지연되자 내부망 백신(하우리)을 혼용해 사용하고 있는 것이다.

국방부
국방부

국방부는 2016년 국방망 해킹 사고 주원인으로 내·외부망 통합 백신 체계를 지목했다. 이 때문에 내·외부망에 각기 다른 백신 제품을 쓰기로 했다. 대응책을 내놨지만 국방부 스스로 지키지 못하고 국방망 해킹 당시처럼 내·외부망에 같은 백신을 쓰고 있다.

서로 다른 백신 설치로 보안을 강화하겠다는 취지가 무색하다. 업계는 국방부가 대형 해킹 사고 이후 종합 사이버 안보 강화 정책을 마련하지 못한 것이라고 지적했다.

국방부 외부망 백신은 국방망으로 유입되는 악성코드 차단이라는 중요한 역할을 한다. 사업 발주부터 관리까지 명확한 설계와 장기적인 계획이 필수다. 국방부가 또다시 내·외부망에 같은 백신을 쓰는 건 면밀한 검토 없이 안일하게 대응한 결과라는 지적이 높다.

국방부는 외부망 백신 설치가 계획보다 1년이나 지연되자 내부망에 사용하고 있는 하우리 백신을 외부망에까지 설치하는 고육책을 썼다. 국방부 관계자는 “맥아피처럼 외산 백신을 쓴 사례가 없어 기존 백신과 함께 사용한다”면서 “맥아피가 주 백신이며, 하우리가 보조백신 역할을 한다”고 해명했다. 이 관계자는 “병행 체제를 언제까지 지속할 지는 아직 정해지지 않았다”며 “안전성을 확보하는데 최선을 다하겠다”고 덧붙였다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

외부망 백신은 사업자 선정부터 잡음이 일었다. 외부망 사업자인 네오티스는 2017년 11월까지 백신을 구축하기로 계약했다. 네오티스는 담당자가 수시로 바뀌는 등 설치 기한을 지키지 못했다. 네오티스는 국방부에 수천만원 규모의 지체 보상금을 지급했다. 국방부 상호운용성 평가는 지난해 12월까지 지연됐다. 네오티스는 계약보다 1년 늦은 지난해 12월 국방부 상호운용성평가를 통과, 올해 1월 운영을 시작했다. 국방부와 네오티스 간 백신 운용 계약은 올해 말까지다.

외부망 설치 지연은 내부망 사업자와 국방부 간 갈등도 유발했다. 국방부는 외부망에 백신이 제대로 설치되지 않자 하우리에 2016년 가격으로 외부망 백신 연장 사용을 요구했다. 맥아피 제품의 절반도 안 되는 가격이다. 하우리는 국방부에 2월 말에 서비스를 중단한다고 통보했다.

국방부 백신 구축 사업 잡음이 계속해서 발생하고 있지만 차기 백신 구축 사업 예산도 확정되지 않았다. 기존 사업과 시장 발전을 고려해 올해 중순 새로운 사업 공고를 낼 계획이지만 사업비 등은 재산정해야 한다는 입장이다. 업계는 국방부 백신 구축 사업이 위험성은 높고 수익성은 낮은 만큼 관련 사업에 큰 기대를 걸지 않는 분위기다.

업계 관계자는 “국방부는 특성상 공격을 100% 막는 것이 불가능하다는 점을 인지하지 않고 백신 사업자에게 해킹 등 책임을 모두 떠넘긴다”면서 “단순 금액 증액뿐만 아니라 책임 여부 문제 등과 관련한 변화가 필요하다”고 말했다.

정영일기자 jung01@etnews.com