[국정감사] 이정헌 의원,

“식품연 암호화폐 채굴 사건, 심각한 연구 보안 체계 구멍”

 

암호화폐 채굴 사건, 우회 접속 의심 신고로 발각

암호화폐 채굴 B씨, GPU 구매·자료 위변조·출퇴근 기록 무단 조작 등 불법행위 저질러

B씨 범행 도와준 동기 A씨, 퇴직 후 52GB 연구자료 불법 유출

B&A씨 동기 D씨, 1년간 서버 관리자 계정 방치해 자료 유출 가능케 해

이 의원, “식품연 사건 대책 마련 필요, 망분리 미적용 기관 보안 취약성 개선해야”

 

 

배포일 : 24.10.17.

○ 국회 과학기술정보방송통신위원회 소속 더불어민주당 이정헌 의원이 오늘 17일(목) 국정감사에서 한국식품연구원(이하 식품연)에서 발생한 암호화폐 채굴 및 연구자료 유출 사건으로 드러난 출연연 연구 보안 체계 구멍을 지적했다.

○ 이 의원이 식품연을 통해 받은 자료에 따르면, 암호화폐 채굴 사건은 2023년 9월 우회 접속 관련 의심 신고 접수 이후 식품연의 자체 조사를 통해 드러났다. 당시 식품연 정보보안팀장은 본관동 홍보관 창고에서 서버를 봤다는 추가 신고를 접수해 취약 장소를 직접 점검했고, 그 결과 암호화폐 채굴기기를 발견해 압수 조치를 취했다.

○ 성과홍보실의 B씨는 직원들에게 지시해 기관 예산으로 고가의 GPU를 과도하게 구매하고, 직원 ID를 도용해 추가 구매했다. 2023년 10월 내부 정보자산 실사 중 암호화폐 채굴용 서버 2대가 압류되자, B씨는 'GPU 구매신청서'를 위변조해 서버 회수를 시도했다. 이로 인해 식품연의 재무조사 업무까지 차질이 생겼다.

○ B씨는 암호화폐 채굴 과정에서 식품연 예산 7,862,990원을 사용해 에어컨, 전기공사, 출입 감지 센서를 설치했고, 약 20만 원의 수익을 얻었다. 또한, 무단으로 통신기기를 설치해 암호화폐 채굴과 전자지갑 관리를 위한 네트워크를 운영했으며, 비인가 서버 접속으로 출퇴근 기록까지 조작해 식품연의 보안 체계를 심각하게 위협했다.

○ B씨의 행위에 결정적인 도움을 준 사람은 동기인 A씨였다. A씨는 현재 국립대 교수로, 퇴직한 후에도 자신의 서버에 설정한 우회 접속 프로그램을 통해 9개월 동안 연구원 서버에 접속해왔다. 24년 3월 30일에는 52GB의 연구원 자료를 불법적으로 자신의 서버로 유출했다. 이 자료는 기초자료를 분석한 DNA 정보를 조합한 자료로, 보안이 필요한 중요한 정보로 분류된 시료 데이터다.

○ A씨 퇴사 후에도 정보시스템 관리책임자이자 A씨의 동기인 D씨가 서버 관리자 계정 정보를 1년 이상 변경하지 않고 방치한 것이다. 그 결과 퇴직한 A씨가 외부에서 자유롭게 연구원 서버에 접속해 중요 자료를 유출할 수 있었다.

○ 이 의원은 식품연이 논리적 망분리 시스템을 적용했음에도 보안이 뚫린 사실을 지적하며 “식품연의 보안 관리가 제대로 작동하지 않았다는 증거”라고 말했다.

○ 이 의원은 “망분리 된 기관에서도 이런 문제가 발생했는데, 망분리가 안 된 출연연들은 더 큰 보안 위협에 노출될 수 있다”고 경고했다. 또한, “연구회 및 출연연 중 19개 기관이 망분리를 하지 않아 정보 유출 등의 위험이 크다”고 덧붙였다.

○ 이 의원은 “암호화폐 채굴 사건은 단순히 한 사람의 일탈이 아닌, 식품연 동기 3명이 보안 시스템을 완전히 무너뜨린 심각한 사건”이라며 “이 사안을 직원들에 대한 징계로만 마무리해서는 안 된다. 우회 접속 신고 하나로 암호화폐 채굴, 연구원 자료 유출, 정보보호 소홀 등 일련의 문제들이 드러난 만큼 철저히 분석하고 대책을 세워야 한다”라고 말했다.

○ 그러면서 이 의원은 “식품연과 달리 망분리가 되어 있지 않은 기관들의 보안 체계는 더욱 취약할 수밖에 없다”라며 “다시는 이런 일이 발생하지 않도록 과기부는 망분리 개선책을 마련하고, 식품연은 우회 접속 관련 월별 점검 대비책과 연구자료 외부 유출 방지, 연구용 서버 관리 강화 등 구체적인 대책을 반드시 마련하라”라고 강조했다.

○ 이에 백형희 한국식품연구원장은 “있어서는 안될 일이 일어났다”라며 “철저하게 분석해 대책을 세우겠다”고 답변했다. <끝>