방위산업체 망분리사업 '주먹구구'

2017-06-08 12:59:36 게재

무리한 밀어붙이기 부실우려

방사청 등 고압적 태도 빈축

지난해 대한항공, 한진중공업 등 주요 방산업체들과 국방부 전산망까지 북한측 소행으로 추정되는 해커들의 공격에 무방비로 노출된 것을 계기로 정부 당국이 추진 중인 방산업체 망분리 사업이 무리한 밀어붙이기로 잡음이 끊이질 않고 있다. 뿐만 아니라 사이버 공격에 대비하기 위한 망분리 사업을 추진하면서 보안등급을 현행 기준보다 완화한 방식으로 추진해 보안수준이 되레 허술해지는 것 아니냐는 우려까지 나오고 있는 실정이다.

방위사업청, 국군기무사, 방산업계, 보안업계 등에 따르면 정부예산 1200여억원이 투입되는 이 사업은 100여개 방산업체를 대상으로 오는 6월말까지 완료할 예정이지만 현재 진척정도는 30% 정도 밖에 되지 않을 정도로 속도가 더디다.

진척속도가 더딘 가장 큰 이유는 예산부족이 꼽힌다. 망분리 사업에 소요되는 비용이 대기업은 10억원 이상, 중소기업은 수억원이 투입된다. 대기업 계열의 방산업체들은 상대적으로 부담이 적지만 중소업체의 경우 매출규모에 견줘볼 때 수억원을 투입해 망분리를 하는 것이 결코 녹록지 않은 일이다. 업무효율성이 떨어짐에도 불구하고 보안을 위해 추진하는 망분리 사업인데 예산부담까지 떠안게 되면 불만이 폭증할 수밖에 없다.

이를 알고 있는 방사청이 일단 각 업체별로 사업추진계획을 세우고 자체 예산으로 집행을 하면 사후 정산을 해주겠다고 약속하면서 불만을 누그러뜨린 상태다. 하지만 업체별로 각기 다른 계약조건과 원가산정 등으로 사후정산 과정도 적잖은 잡음이 일 것으로 보여진다.

지난달 16일 공군회관에서 열린 방위사업청과 기무사령부 그리고 방산업계 관계자 등 150여명이 모인 간담회 자리에서도 이에 대한 질문과 불만이 쏟아졌다.

방사청은 예산을 사후정산하겠다고 약속했지만 원칙만 있을 뿐 정확한 기준과 방식이 없는 상태다.

이에 대한 불만이 팽배하자 방사청 간부는 '그럼 사업을 접으라'는 식의 태도를 보여 더 큰 반발을 사기도 했다. 뿐만 아니라 방사청은 이달 말까지 망분리를 하지 않을 경우 방산업체 지정취소와 각종 지원대상에서 배제하겠다는 등 고자세로 일관하고 있다.

방사청 관계자는 "사업추진이 더뎌 독려하는 차원"이라고 해명했지만 업계 불만은 좀처럼 잦아들지 않고 있다. 더구나 원칙과 기준이 모호한 사후정산 방식으로 인해 대기업 계열사엔 일감 몰아주기라는 부작용을 부를 수 있고, 중소업체들은 저가 장비구매 등을 통한 비용 부풀리기 가능성도 제기되는 상황이다.

이를 더욱 부추긴 것이 보안등급의 하향평준화 논란이다. 이번 사업의 법적 근거는 방위산업보안업무훈령과 국방사이버안보훈령 등의 보안규정인데 여기에는 '망분리 시스템은 인증등급(CC)이 높은 제품이 구축되도록 해야 한다. 정보보호시스템은 가능한 한 평가보증등급 EAL4 이상의 고등급 시스템을 도입하라'고 명시돼 있다. 하지만 이번 사업을 위해 새롭게 마련한 '망분리 시스템 보안관리 지침'에는 보안등급에 상관없이 인증(CC등급)만 받으면 가능하다고 완화된 기준을 제시했다. 이를 근거로 중소방산업체들이 비용절감을 위해 인증등급이 낮은 업체를 선호하는 것은 물론이다. 사이버 보안을 위해 추진하는 망분리사업이 보안의 하향평준화를 부르고 있다는 지적이 나오는 이유다.

이에 대해 군 당국은 보안등급은 각 방산업체별로 정해져 있고, 이에 맞게 관리되고 있기 때문에 망분리를 위해 CC등급 인증만 받도록 한 것이 크게 문제될 것이 없다고 설명한다.

그러나 보안업계에서는 "방화벽이나 IPS(침입방지시스템) 등은 고등급인 EAL4로 구성돼 있는데 함께 시스템을 구성해야 하는 망연계보안장비는 CC등급만 갖추면 된다는 것은 앞뒤가 맞지 않다"고 반박하고 있다. 결국 지난해 국방장관실까지 뚫리면서 국민들에게 충격을 준 사이버보안 실태의 부실함과 방산업체들의 잇단 해킹사건을 서둘러 봉합하는 과정에서 더 큰 부실과 부작용을 부르고 있다는 지적이다.

국방부는 이에 대해 "모든 업체에 망분리를 도입하려는 정책 목표상 부득이한 조치였다"면서 "사전보안대책 검토와 도입후 보안측정 등 망분리 보안수준에 대한 철저한 검증을 통해 최대한의 보안수준이 확보될 수 있도록 유도하고 있다"고 해명했다.
정재철 기자 jcjung@naeil.com
정재철 기자 기사 더보기