잠수함 설계도 대만 유출, ‘헛발질’ 이어가는 韓 보안 솔루션의 한계
잠수함 설계도면 통째로 유출, 국가핵심기술도 보안 '취약' 정보보안 인식 '저조', "돈 버는 직무 아니니 취급도 안 좋아" 퇴직자 기밀 유출 심각한 수준, "보안실태 점검 필요해"
대우조선해양(현 한화오션)이 개발한 잠수함의 설계 도면이 대만에 통째로 유출돼 경찰이 수사에 나섰다. 해당 도면은 대만 정부의 첫 자체 잠수함 ‘하이쿤’ 개발에 사용된 것으로 알려졌다. 이에 기술 유출을 감행한 이들에 대한 도덕적 비판이 오감과 동시에 기술 유출을 막을 만한 보안 시스템을 제대로 유지하지 못한 한화오션에 대한 질타가 이어지고 있다. 한화오션 측은 “국가핵심기술 보호에 만전을 기하고 있다”며 보안 논란을 거듭 해명했지만, 이미 실제 피해 사례가 확인된 이상 책임론에서 자유로울 수는 없을 것으로 보인다.
한화오션 기술 유출, ‘보안 공백’ 가시화
3일 경찰청에 따르면 경찰은 한화오션 전 직원 A씨 등 두 명을 기술 유출 혐의로 입건해 수사하고 있다. 이들은 한화오션 근무 당시 도면을 빼돌린 뒤 잠수함 개발 컨설팅 회사인 S사로 이직했고, 이후 도면을 대만 측에 넘긴 것으로 드러났다. 경찰은 기술 유출을 막지 못한 S사도 입건했다. 대만으로 넘어간 2,000쪽 분량의 잠수함 설계 도면은 한화오션이 2019년 인도네시아에 1조1,600억원에 3척을 판매한 ‘DSME1400’ 모델이다. 이번 유출 사건에 대해 대만 정부의 잠수함 개발 사업에 깊숙이 관여하고 있는 한 관계자는 “대만 국영 대만국제조선공사(CSBC)에서 한화오션의 잠수함 설계 도면이 돌아다니고 있다는 건 전문가들 사이에서 꽤 알려진 사실”이라며 “대만 정부 차원에서도 최소 6개월에서 수년 동안 대만에서 일하는 조건으로 한국 전문가들에게 거액을 제시하고 있다”고 밝혔다. “잠수함 컨설팅 업체 S사가 대만 정부와 함께 공정마다 한국인 전문가를 추천해 채용하고 있다”며 “수년 전부터 많은 한국 전문가가 일하고 있다”라고도 덧붙였다.
도면 유출 사실은 대만 내 친중 성향의 국회의원이 제보하면서 수면 위로 드러났다. 한화오션의 설계 도면이 CSBC 등 주요 관계자 사이에서 돌아다니자 이를 한국의 대만대표부에 알린 것이다. 중국은 대만과의 갈등과 남중국해 영토 분쟁 등을 이유로 대만의 잠수함 개발 사업을 적극 견제하고 있다. 제보는 한국 방위사업청과 국가정보원 등에 전달됐고 경찰도 지난해부터 본격적인 수사에 나섰다. 경찰은 S사 직원 상당수가 대만에 있어 수사에 난항을 겪고 있다. 직접 수사가 쉽지 않은 데다 대만 정부의 협조도 잘 이뤄지지 않고 있어서다. 해군 간부 출신인 S사 대표 역시 대만에 머물며 수사당국의 수사 협조를 거부하고 있다. S사 관련자들은 대만에 한화오션의 잠수함 도면을 넘기지 않았다며 혐의를 부인하는 것으로 전해졌다. S사 측은 “인도네시아로 잠수함을 수출했을 당시 도면도 함께 넘어갔다”며 “이 과정에서 대만으로 불법 유통됐을 것으로 보인다”고 해명했다.
“기술 유출 예견된 일, 정보보안 인식 높여야”
기술 유출 피해를 입은 한화오션 측은 사건과 관련된 이들에 대한 엄정한 처벌을 강조하고 나섰다. 한화오션은 “기술유출 사건과 관련해서는 과거 대우조선해양 시절을 포함해 범죄 관련자들에 대해선 단호하고 엄중한 책임을 묻고 사법처리할 방침”이라고 목소리를 높였다. 기술 보안의 취약성이 기술 유출로 이어진 것 아니냐는 일각의 지적에 대해선 “국가핵심기술 보호에는 만전을 기하고 있으며, 재발 방지를 위해 국가정보기관 등과 상시적인 공조와 협업 시스템을 구축하고 있다”고 반박했다. 다만 실제 피해 사례가 발생한 이상 기업의 기술 보호 시스템 자체에 대한 의구심은 더욱 커질 수밖에 없을 것으로 보인다.
정보보안 직종에 몸을 담고 있는 이들은 이 같은 유출 사고가 어쩌면 예견된 일이었는지 모른다는 의견을 내놓기도 한다. 국내 기업 임직원들의 정보보안 직무 이해도가 지나치게 떨어져 있기 때문이다. 한 정보보안 업무 관계자는 “정보보안 직무는 결국 현업에서 지원하는 부서기 때문에 회사 내에서 을일 수밖에 없다”며 “직접적으로 돈을 벌 수 있는 부서도 아니고, 오히려 보안을 위해 돈을 쏟아야 하는 부서인 만큼 그 정도가 더 심하다”고 설명했다. 이어 “애초 정보보안을 정보 유출을 막기 위한 용도로 보는 이들이 거의 없다”며 “대부분 정보 유출에 대한 법적 책임을 회피하기 위해 정보보안을 이용하고 있을 뿐”이라고 지적했다. “미국에서 페이스북과 같은 기업이 정보 유출을 할 시 처하는 벌금형에 비하면 국내에서의 정보 유출은 항상 일어나는 일인 데다 처벌도 솜방망이에 그치는 경우가 많아 정보보안의 중요도가 높지 않다”라고도 덧붙였다.
밑 빠진 독에 물만 붓는 기업들, “‘두꺼비’조차 없다”
정보보안에 대한 인식 자체가 결여돼 있는 경우도 많다. 애초 CEO나 임원이 관련 규정을 먼저 무시하거나 본인만큼은 보안에서 예외를 요구하는 일이 잦다는 것이다. 전문가들은 “직책이 높을수록 기업의 핵심 정보를 더 많이 알고 있음에도 권력을 활용해 보안에서 프리패스를 자행하다 보니 기업 전반의 보안체계가 어그러질 수밖에 없는 것”이라고 지적했다. 이외에도 별도의 보안 솔루션이 마련돼 있지 않은 외부 인터넷망을 자유롭게 사용할 수 있다는 점, 보안 담당자가 제대로 지정돼 있지 않다는 점, 핵심 인력으로 분류돼 있던 임직원이 퇴직해도 아무런 대책이 없다는 점 등도 문제로 꼽힌다. 특히 퇴직자의 기업비밀 침해는 가장 큰 구멍 중 하나다. 최근 고용 불안과 퇴직 연령이 하향 추세에 접어들면서 임직원이 장래 재취업의 불안에서 오는 대책으로 기업의 비밀을 사유화하려는 경향이 강화되고 있는 만큼 이에 대한 대책을 마련할 필요가 있을 것으로 보인다.
정보화 사회에 접어든 오늘, 이제는 국가 간 무력 전쟁보단 치열한 ‘정보 전쟁’이 벌어지고 있다. 정보활동엔 언제나 공격과 방어의 양면성이 내포돼 있겠지만, 아무리 경쟁사나 경쟁국의 주요 정보를 얻는다 한들 자사 또는 자국이 지니고 있던 핵심 정보를 지속적으로 유출한다면 이는 ‘밑 빠진 독에 물 붓기’에 불과하다. 국내 다수 기업들은 여전히 자사의 보안환경에 대한 자기반성 없이 기밀 유출을 사실상 방관하고 있다. IT 인프라 발전에 따라 정보전의 역할은 더욱 높아졌지만, 이에 당연히 따라와야 할 ‘방어’의 기술이 전무한 상태란 의미다. 잠수함 설계 도면 유출은 밑 빠진 독을 막아줄 ‘두꺼비’ 하나조차 제대로 마련하지 못한 우리나라의 현실을 보여준다. 보안실태 점검 및 적절한 대책 강구가 하루빨리 이뤄져야 한다.