사이버 공격 24시간 막고 전군에 백신 설치, 20억으로 가능할까

국가안보를 위해 시급히 재구축돼야 할 국방망 백신사업 추진이 차질을 빚고 있다. 지난 7월 국방부는 ‘2017년 전군 바이러스 방역체계(내부망) 구축사업’ 입찰공고를 냈지만, 최근 단일응찰로 결국 유찰됐다. 보다 강력한 사이버보안체계를 지향하면서 현실과 동떨어진 적은 예산을 책정한 것이 화근이었다.

사이버 공격은 지금 이순간에도 이뤄지고 있다. [사진 중앙포토]

2016년 9월 국방망을 해킹당한 국방부는 보안기능 향상을 위해 내부망과 외부망에 서로 다른 백신 솔루션을 적용키로 했다. 이와 관련한 사업예산으로 내부망 약 32억 원, 외부망 약 10억 원을 책정했다. 이전의 총 17억 원보다 대폭 늘긴 했지만, 수행기간이 오는 12월부터 2019년 12월까지 25개월이나 된다.

국방부는 국방망 해킹사건이 일어나고 거의 1년이 지나서야 백신사업 공고를 내고 입찰제안요청 설명회를 열었다. 그런데 소프트웨어 품질성능 평가시험(BMT)을 제출하고 사업설명회를 찾은 기업은 하우리와 맥아피, 단 두 곳이었다. 맥아피는 미국의 보안 솔류션 업체다. 내부망의 경우 국내기업을 대상으로 하기 때문에 군 검찰이 국방망 해킹사건의 책임을 묻겠다던 하우리만 참여한 셈이다.

2017년 5월 군 검찰의 수사결과 발표에 따르면 국방망 해킹은 해커조직이 2015년 1월부터 하우리를 해킹해 인증서ㆍ소스코드 등 백신관련 기술정보를 탈취한 것으로부터 시작됐다. 이후 하우리는 침입사실을 알고도 국방부에 자료유출 사실을 알리지 않는 등 해킹당한 사실을 고의적으로 은폐했고, 백신체계의 취약점을 인지했음에도 업데이트 키(key)를 변경하지 않아 국방망 해킹으로 이어졌다고 판단했다.

여타 보안기업들이 백신사업 참여를 포기한 이유는 많다. 전군을 직접 방문해 기존 백신 솔루션을 제거하고 새로운 백신체계를 구축해야 하는데, 여기에 들어가는 인력과 유지보수 비용이 만만찮다. 특히 국방 분야는 해커들의 주된 표적으로 백신기업에 대한 공격이 함께 진행된다. 혹시라도 뚫리게 되면 책임에서 벗어날 수 없고 기업 이미지도 큰 타격을 받는다. 게다가 군의 수많은 요구사항도 부담스럽다.

일상의 기업이라면 이런 위험을 감수하면서까지 수지도 맞지 않는 사업에 참여할 이유가 없다. 기업이 사회적 책임을 다해야 한다고는 하지만 기업의 원래 목적은 어디까지나 이윤 창출이다. 이를 모를리 없는 군이 국가안보의 신경망이라 할 수 있는 국방망 개선사업에 자주포 한 대 값도 안 되는 예산을 배정했다.

굳이 비유하면 뇌수술이 필요한 중환자에게 이마에 붙일 반창고를 사주는 격이다. 기업에 적자를 감내하면서 수준 높은 대응책을 바라는 것 자체가 모순이다. 최고의 기능과 신뢰성을 요구하면서 최저 사업비만 산정하는 고식적 사고에서 벗어나야 한다. 국방 사이버역량 강화의 첫 단추는 인적 자산과 기술력, 즉 ‘무형의 가치’를 인정하는 것이다.

그리고 이를 뒷받침하는 ‘수행의 속도’다. 사이버환경은 우리 군이 적응하는 속도보다 빠르게 변하고 해킹사고는 보안담당자들이 이해하는 속도보다 빠르게 발생한다. 이런 변화야말로 우리 군에게 적응의 대상이자 주도의 대상이 돼야 한다.

작가 김종래는 <CEO 칭기즈칸>에서 이렇게 쓰고 있다. “(800년 전 몽골전사) 그들은 고원 밖으로 시선을 돌려 하루에도 몇 백 킬로미터씩 대지를 내달렸다. 그러면서 그들이 질주하는 여정을 따라 세계 질서가 그들 눈앞에서 바뀌어 가는 것을 보았다. 그들 앞에 무릎 꿇는 농경 정착민들을 보면서 머물러 사는 자의 안락이 얼마나 무서운 것인가를 목격했다. 안락은 스스로를 안락사시킨다.”

손영동 한양대학교 교수