[아이뉴스24 김국배 기자] 국방부 해킹 사고가 소송으로까지 번졌다.
국방부가 지난해 국방망 해킹 사고와 관련해 기업을 상대로 거액의 소송을 제기해 귀추가 주목되는 가운데 '책임 떠넘기기' 아니냐는 논란도 제기되는 상황이다.
국방부는 지난달 26일 전산망 시공사 L사와 백신 납품업체 H사를 상대로 서울중앙지법에 50억 원의 손해 배상 소송을 제기했다.
이번 소송은 지난 5월 발표한 군 검찰의 해킹 수사결과에 따른 수순으로 해석된다. 당시 군 검찰은 2015년 1월과 5월 북한 추정 세력이 국방부 백신 납품업체의 백신 자료를 해킹해 탈취한 백신 취약점을 이듬해 국방망 해킹 수단으로 악용했다고 밝혔다.
또 이 과정에서 백신 업체가 경찰청 사이버안전국으로부터 해킹 사실을 통보받고도 고의로 알리지 않았다고 주장했다. 국방통합데이터센터(DIDC) 시공사가 서버 구축 과정에서 국방망과 인터넷망을 혼용 시공했다는 점도 지적했다. 앞서 국방부는 지난 9월 조달청에 H사를 부정당업자로 제재해달라고 요청한 상태다.
◆해킹 누구 책임? 국방부-기업 갈등
그러나 해당 기업 입장은 전혀 다르다. H사 관계자는 "해킹 사고가 발생한 이후 사이버사령부에 세 차례 이상 보고했고, 사이버사 참모장에게 브리핑까지 해가며 사고를 가감없이 알렸다"고 해명했다.
더욱이 국방부의 주장과 달리 이 사고는 당시 국군기무사령부와 사이버사가 조사해 국방부 보안에 영향을 주지 않는다고 결론을 내린 것으로 2016년 국방망 해킹사고와는 연결고리가 없다는 게 H사측 설명이다. 정작 국방망 해킹사고 조사에서 당사는 제외됐고, 백신 취약점 정보도 3개월이 지나서야 뒤늦게 공유받았다고 설명했다.
H사 관계자는 "국방망 해킹 사고의 근본 원인은 망혼용(인터넷망과 국방망의 망분리가 안되고 혼용됨)이며 이를 허술하게 관리·감독한 국방부의 책임이 분명하다"고 반박했다.
전산망 시공사 L사도 당혹스럽긴 마찬가지. L사는 군 당국으로부터 공식 절차와 검증 과정을 통해 적격 판정을 받고 2015년 1월 사업을 종료했다. 보안취약점 점검, 설치, 기술 검증, 시스템 시험 등의 결과서에서 모두 적격 판정을 받았다. 기무사 보안 감사, 국방정보본부 보안 측정, 사이버 방호기관 평가도 통과했다. 2015년 2월에는 성공적 사업 수행 결과로 국방부장관 표창까지 받았다.
결과적으로 국방부는 H사에 소송을 제기하는 한편 차기 백신 사업자를 찾지 못해 여전히 H사에 서비스를 맡기는 이중적 행태를 보이고 있는 지적도 나온다.
현재 국방부 내부망 백신 사업은 참여업체가 H사 1곳밖에 없어 지난 8월 유찰된 이후 더 이상 진행되지 못하고 표류중인 것. 기존 사업자인 H사와 수 개월 단위로 서비스를 연장하고 있는 게 현실이다. 외부망에는 처음으로 외산 업체인 맥아피가 선정됐다.
가뜩이나 기피 사업 취급을 받는 백신 사업은 이번 소송에 따른 책임 전가 논란으로 사업자 선정에 더욱 어려움을 겪을 것이라는 관측도 나온다.
김승주 고려대 정보보호대학원 교수는 "(국방망 해킹은) 군의 검수(평가) 능력 부족과 시설 점검 미숙, 일선 장병의 안이한 보안 의식에서 비롯된 사고"라며 "업체에 과실이 있는 부분을 정확히 파악하고, 계약조건에 명기돼 있다면 책임을 물을 순 있겠지만 모든 잘못이 업체에 있는 듯 몰아가선 곤란하다"고 지적했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기