지난달 27일 1심 판결로 일단락된 국방부와 하우리 간의 소송전에 아쉬움이 남는다. 국방부가 백신의 특징을 잘 인지해서 대처했더라면 불필요한 갈등을 줄일 수 있었을 것 같아서다.
이 소송전은 지난 2016년 발생한 국방망 해킹 사건에서 시작됐다. 백신 업데이트 파일이 내부망 PC에 배포되는 과정에서 악성코드가 확산됐다는 게 손해배상 청구 이유였다. 이후 약 2년 10개월만에 1심에서 청구를 기각한다는 결과가 나왔다.
그 동안 많은 일들이 있었다.
국방부는 하우리와 소송전을 벌이는 와중에도 내부망 백신 구축 사업자로 하우리를 지난 2018년 2월 선정했다. 하우리 외 입찰자가 없어 연속 유찰 끝에 난 결정이었다. 국방망 특성상 해커에게 노려질 위험이 큰데도, 사업 금액은 낮아 사업 참여 유인이 적었다. 국방부가 하우리에 소송을 제기한 점도 더욱 보안업체들의 관심을 거두게 했다.
외부망 사업자로는 맥아피가 선정됐으나, 맥아피 백신이 국방부 운용성 시험을 통과하지 못해 기존에 구축돼 있던 하우리 백신을 그냥 계속 썼다. 그렇게 사업 기간인 2년이 지났다.
국방부로선 해킹에 취약했다고 지목한 백신을 계속 쓴 셈이 됐다. 비판을 피하기 위해 국방부는 다음 2020년도 백신 구축 사업에서는 하우리를 배제하기 위해 애썼다. 업계에선 40억원 규모였던 사업 예산 규모를 100억원 이상으로 늘렸다는 얘기가 들려왔다. 그 결과 내부망에는 안랩 백신이 채택됐으나, 외부망에는 하우리 백신이 또 채택됐다. 제품 품질 측면에서 경쟁사를 제쳐서 사업을 따냈다.
결과론적이지만, 국방부가 명확한 이유 없이 보안 회사를 소송으로 괴롭힌 꼴이 됐다. 소송 과정에서 하우리의 과실을 입증하지 못했다. 하우리는 내부 인력들이 본래 업무에 집중하지 못하고 장기간 소송에 매달려야 했다고 주장한다. '해킹을 유발한 보안 회사'라는 꼬리표도 계속 따라다녔다.
하우리는 법원에 제출한 참고서면에서 다량의 자료유출 이벤트가 보고됐음에도 국방부가 별다른 조치를 취하지 않았다고 주장했다. 아울러 보안 강화를 위해 민감한 자료를 암호화하고, 일정 크기 이상의 데이터 전송을 제한하는 사전 예방 조치 및 자료유출 이벤트에 대한 세부조사가 이뤄졌어야 한다고 지적했다. 백신만으로는 사이버공격을 완벽히 막을 수 없다는 점을 시사하는 대목이다.
관련기사
- 하우리, 국방망 해킹 법적 책임 벗었다2020.08.27
- 하우리, EDR·서버 보안·중앙 관리 솔루션 신제품 출시2019.12.21
- 예비군 소집훈련도 비대면 원격교육으로 전환2020.08.21
- 美 "이게 북한발 해킹도구"…악성코드 3종 전격 공개2020.05.13
'100% 완벽하다고 누구도 말할 수 없다'는 게 보안 전문가들의 주장이다. 새로운 사이버공격을 완벽히 예측할 수 없기 때문이다. 해킹이 됐다고 해서 보안 제품의 무능으로 책임을 돌리는 건 어불성설이란 것이다. 때문에 국방부가 해킹 사건을 소송으로 끌고 가지 않고 보안 체계 전반을 재건하는 기회로 삼았더라면, 소송에 투입된 자원이 보안 제품 구매나 인력 추가 배치 등에 쓰였더라면 훨씬 유익했을 것이란 아쉬움이 남는다.
이런 일이 재발돼선 안 된다. 국방부 관계자는 "항소 여부를 두고 면밀히 검토하고 있다"고 말했다. 국방망 백신 구축 사업은 2년마다 돌아온다. 국방부가 보다 사이버보안에 대해 이해도가 높은 모습을 보이고, 투자도 강화해야 보안 회사들도 강력한 사이버국방을 구현하는 데 만전을 기할 수 있다. 보안 회사는 적이 아니다.
