"해양플랜트연구소, 북한 추정 해킹에도 '피해 없음' 보고"
국회 농림축산식품해양수산위원회 소속 강명구 의원(국민의힘·구미시을)은 해양수산부 소관 선박해양플랜트연구소가 2022년 북한으로 추정되는 공격자로부터 내부 서버 7개 계정이 탈취됐는데도 해양수산부와의 협의 끝에 '피해 없음'으로 처리한 사실이 드러났다고 13일 밝혔다. 해킹의 통로가 된 서버 유지보수 업체와의 계약은 현재까지도 유지 중이라고 덧붙였다. 강 의원이 해양수산부에서 제출받은 자료에 따르면, 선박해양플랜트연구소에서는 2022년 11월 18일부터 12월 14일까지 총 4차례의 사이버침해 사고가 발생했다. 특히 최초 사고보고서에서는 외부에서 내부망으로 접근할 수 있는 SSL-VPN 서버의 계정이 탈취됐다는 내용이 포함돼 있었으나, 후속 결과보고서에서는 해당 내용이 삭제됐다고 밝혔다. '자료 유출이 확인되지 않아 피해로 보기 어렵다'는 이유로 해양수산부와 협의해 피해 내역에서 이를 제외했다고 진단했다. VPN은 인터넷을 통해 원격 사용자가 내부 네트워크에 접속할 수 있도록 하는 기술이다. 강 의원은 전문가 의견을 반영해 "익명을 요구한 한 사이버침해 대응 전문가는 '데이터 유출은 단순히 파일이 외부에 반출됐다는 기록이 있어야 하는 것은 아니다라며, 계정이 탈취됐다면 내부 서버 자료를 열람하거나 화면을 캡쳐할 수 있는데 이 역시 '간접 유출'로 간주돼야 한다"고 지적했다. 이어 "해당 공격자 IP와 공격 패턴, 공격 당한 유지보수 업체 등을 고려하면 2022년 북한발 해양·조선 방산업체 해킹 사태와 유사한 양상'이라며 '북한의 '킴수키(Kimsuky)' 등 해킹 조직과의 연관성이 찾아진 만큼 면밀한 피해 조사가 필요했으나, 아무런 피해가 없다고 결론 낸 것은 납득하기 어렵다"고 비판했다. 강 의원은 사고 이후의 사후 조치도 부실했다고 지적했다. 또 "연구소는 사고 당시 망 분리조차 제대로 이뤄지지 않았는데, 침해 사고 발생 뒤에도 예산 부족을 이유로 3년이 지난 현재까지 망 분리 사업을 완료하지 못하고 있다"면서 "해양플랜트연구소는 해군과 중요 안보 사업을 함께 수행하는 국가 연구기관인 만큼, 북한발 사이버 공격에 대비해 철저한 보안 체계를 갖추고 있었어야 했다. 이처럼 안이한 태도로 침해 사고를 축소하거나 은폐하려 든다면 또다시 북한의 '해킹 맛집'으로 전락할 것"이라고 강하게 비판했다. 강 의원은 "현재 공공기관의 사이버침해 사고는 피해 기준이 구체적으로 마련돼 있지 않아 사건 축소나 은폐가 손쉽게 가능한 구조"라며 "국정원 등 관계기관과 협의해 사이버침해 피해 기준을 명확히 하고 공공기관의 보안 대응 체계를 전면적으로 점검해야 한다""고 강조했다. 한편 강의원의 이 같은 주장에 대해 연구소는 13일 "해킹사건 발생 이후 사이버위기대응 매뉴얼에 따라 즉시 신고했고, 관계기관의 보고 및 조사가 진행됐고, 조사 결과 유출이 확인되지 않았으며 이는 정식 절차에 따른 조사 결과로 “피해없음”으로 축소 처리한 것이 아니다"고 해명했다. 이어 "핵심 연구자료는 별도의 보안 체계에서 관리되고 있어, 문제가 된 본 외부망 탈취 사건과는 직접적인 관련이 없으며, 해킹 시도 이후 보안컨설팅 결과에 따라 망분리 작업을 진행하고 있다"고 덧붙였다. 실제 연구소는 국방핵심기술개발부서에 대해 우선적으로 망분리를 실시('24)했고, 전체 적용을 위해 정보화 전략계획 수립 및 망분리를 추진 중('25~'27, 총 22억원)이다. 이어 연구소는 "또 최초 사고보고서는 초동 대응 단계에서의 잠정 분석으로, 공격자가 SSL-VPN(원격접속)을 통해 연구소 내부 시스템에 접속한 정황을 기반으로 작성됐다. SSL-VPN은 연구소 외부에서 내부 시스템에 접속하기 위한 통로일 뿐 연구자료나 개인정보 등을 저장하는 공간이 아니다"면서 "이후 세부 조사 결과, 공격자가 SSL-VPN(원격접속) 서버를 탈취한 것이 아니라, 단지 특정 ID와 패스워드(PW)를 이용해 일시적인 접속을 한 것으로 확인돼 후속 결과보고서 상 '서버 탈취 항목'에서 제외됐다"고 밝혔다.
