양낙규기자의 Defense Club 로고

국내 방산기업을 대상으로 한 해킹 공격이 최근 들어 급증한 것으로 나타났다. 특히 북한의 해킹 공격이 두드러졌다. 우리 기술을 탈취해 수익을 챙기는 것은 물론이고 정찰자산을 고도화해 우리 군의 감시를 회피하는 기술에 활용한다. 방산기업은 우리나라 뿐 아니라 방산 수출 증가에 따른 다른 나라의 국가안보와도 밀접한 관계가 있는 만큼 해킹 대응을 보다 강화해야 한다는 목소리가 나온다.

21일 국회 국방위원회 소속 임종득·강대식 의원이 방위사업청에서 받은 '방위산업기술 유출·침해사고 신고센터 접수현황'에 따르면 2020년부터 지난해 8월까지 사고발생 건수는 82건에 달했다. 접수된 신고 가운데 방산 기밀이 유출된 건수는 37건으로 전체의 절반에 육박했다. 신고센터가 운영을 시작한 2020년 3월부터 연말까지는 6건, 2021년 8건, 2022년 3건, 2023년 5건에 불과했지만 지난해에는 8월까지 15건에 달했다.

신고접수가 자진신고라는 점을 고려한다면 알려지지 않은 해킹 건수는 더 많은 것으로 보고 있다. 북한이 2022년 10월부터 지난해 7월까지 국내 방산기업 10여 곳에서 방산 관련 자료를 빼간 사실도 확인됐다. 경찰청 국가수사본부는 북한의 해킹조직 라자루스와 안다리엘 김수미 등을 범죄 주체로 특정하며 "북한의 여러 해킹조직이 방산기술 탈취를 위해 전방위 합동 공격을 하고 있다"고 밝혔다.

◆북한 주요 해킹 대상 중소기업 갈수록 증가=특히 최근 들어 우려할만한 점은 북한의 주요 타깃이 대기업에서 보안이 상대적으로 취약한 중소기업으로 옮겨가고 있다는 점이다. 지난 5년간 방위산업기술 유출·침해사고 신고센터를 통해 신고된 건수를 살펴보면 피해업체는 2020년 9건, 2021년 12건, 2022년 3건, 2023년과 지난해 8월까지 각각 1건인 반면 중소기업은 2020년 3건에서 지난해엔 8월까지 19건에 달했다.

중소기업들은 군 주요 무기체계에 사용되는 케이블 등 부품을 생산해 대형 방산업체 등에 납품하는 업체들이 대부분이다. 대형 방산업체의 경우 다수의 해킹 공격과 기술 유출 경험을 토대로 내부망과 외부망을 분리하거나 인가되지 않은 인터넷주소(IP주소)의 접속을 차단하는 등 보안 조치를 강화하고 있다. 하지만 상대적으로 영세한 중소기업들은 보안에 투자하기 어려운 형편이다. 방위사업청은 방위산업 기술보호법 제 13조에 따라 방산기업은 기술 보호 체계를 구축해야 한다는 의무사항을 내세우고 있지만, 방산기업에 등록되지 않은 중소기업들은 해당하지 않아 무방비로 노출될 수밖에 없다.

방산 중소기업의 부품 관련 기술 자료 한 건으로 무기체계를 만들기는 힘들다. 하지만 여러 자료가 결합하면 무기체계를 만들 때 핵심적인 역할을 할 수 있다. 대표적인 기술이 콜드론치(Cold Launch·발사관에서 미사일을 물 밖으로 밀어낸 뒤 엔진을 점화시키는 방식)다. 정보당국은 북한이 2016년 국내 방산업체에서 콜드론치 탈취한 것으로 보고 있는데, 이 기술을 적용해 잠수함발사탄도미사일(SLBM) 개발 기간을 대폭 단축한 것으로 추측하고 있다.

◆2004년 발의 법안 국회서 흐지부지=문제는 북한의 해킹을 초기 단계부터 차단할 컨트롤타워가 없다는 점이다. 기초단계인 법안부터 허술하다. 국가 사이버 안보법은 2004년 제17대 국회에서 처음 발의된 '사이버 위기 예방 및 대응에 관한 법률안'을 시작으로 18대부터 21대 국회까지 회기마다 관련 법안이 제출됐다. 입법에는 모두 실패했다. 유용원 국민의힘 의원은 지난달 11일 대통령 직속 위원회와 국정원 주관의 단일 '컨트롤타워'를 중심으로 한 실질적인 대응 체계를 명문화하는 '국가 사이버 안보법'을 대표 발의하기도 했다.

해킹을 담당할 조직도 마땅치 않다. 정부는 2013년 '국가 사이버 안전관리 규정'을 제정(2021년 '사이버 안보 업무 규정'으로 대체)하고 국가정보원을 중심으로 공공부문 대응 체제부터 구축했다. 이 규정에는 민간영역이 배제됐다. 현재 사이버 안보 위협 대응 역량은 국정원이 사실상 컨트롤타워 역할을 맡아 왔다. 정보 수집과 우방국과의 협력에서는 강점을 보이고 있지만 민간 협력 측면에서 한계가 있다. 전문가들은 법 마련을 통해 미국의 사이버 보안 및 인프라 보안국(CISA) 모델을 벤치마킹해 '사이버 안보청'과 같은 중앙 컨트롤타워를 설치하자는 주장이 나온다. 일각에서는 국정원 외청 형태로 '사이버 안보청'을 설립하자는 주장도 나온다.

◆해상 무인체계 쓰이는 '라이다'도 규정 모호=방산기술을 규정하는 법안도 경계가 모호하다. 방위사업청은 방위산업 기술보호법 제7조에 따라 국방과학기술 중 국가안보 등을 위해 보호해야 하는 기술을 명시하고 있다. 현재 8개 분야 128개 기술이다. 하지만 이 기술 명시만으론 방산과 민간기술을 규정짓기 힘들다. 방산기업이 개발한 라이다(LiDAR)의 경우 민간에선 고속도로 하이패스 이용 차량을 인식하는 데 쓰이지만, 군에선 해상 무인체계에 활용된다. 라이다 기술이 유출될 경우 방산기술인지, 민간기술로 볼 건지에 대한 기준이 없는 셈이다.

정부 관계자는 "국내 방산 중소기업들의 자발적인 사이버 보안체계를 구축하기 위해서는 지원책이 필요하다"며 "사이버 법안과 조직을 설립할 때 사각지대에 놓인 방산 중소기업들에 대한 대책도 마련돼야 한다"고 말했다.