국방부가 북한발 해킹 사고 책임을 기업에 전가하는 듯한 소송을 제기, 논란이 거세다.

국방부는 지난달 26일 전산망 시공사 L사와 안티바이러스 공급사 H사를 상대로 서울중앙지법에 50억원 규모의 손해배상 청구 소송을 냈다. 국가 사이버안보 방어 실패의 책임을 민간 기업에 돌리며 민사 소송을 제기한 드문 사례다.

국방부는 군 검찰 수사를 바탕으로 소송을 제기한 것으로 알려졌다. 그동안 두 회사는 국방부와 비밀유지 계약에 따라 군 검찰의 조사 결과에 의견을 내놓지 않았다. 소송이 접수되자 기업 입장을 내놓으며 적극 대응에 나섰다.

국방부 검찰단은 지난 5월 2일 국방망 해킹 수사 결과를 발표했다. 군 검찰은 2015년 1월과 5월 북한 해커가 국방부 백신 납품 기업의 백신 자료를 해킹했고, 이를 활용해 국방망에 침투했다고 밝혔다. 군 검찰은 백신 납품 기업이 2015년 북한에 해킹 당한 사실을 알고도 국방부에 알리지 않는 등 고의로 은폐했다고 지적했다. 군은 해당 기업이 백신 체계의 취약점을 알면서도 업데이트 '키'를 변경하지 않아 국방망 해킹으로 이어졌다고 봤다.

H사는 은폐 고의성은 없다고 밝혔다. H사는 2015년 3월 국정원으로부터 해킹 사실을 통보받고 조사를 벌였다. 같은 해 4월 29일 사이버사령부에 조사 결과를 알렸으며, 5월 15일 참모장에게 해당 내용을 브리핑까지 했다. H사 관계자는 “군 검찰이 말하는 고의 은폐는 있을 수 없는 일”이라면서 “해당 사건을 설명하고 보안 업데이트를 진행했다”고 해명했다.

여전히 국방부에 백신 서비스를 진행하고 H사는 손해배상 피송으로 당혹감을 감추지 못했다. H사는 2014~2016년 2년 동안 국방부에 백신을 공급했다. H사는 지난 1월 국방부와 계약이 종료됐지만 후속 사업자가 없어 4개월 단위로 재계약을 하고 있다. H사는 2년 전 계약 가격에 준해 서비스 비용을 받고 있다.

국방부는 차기 국방망 백신 사업자를 찾지 못했다. 외부망은 외산인 맥아피 백신이 선정됐다. 내부망인 국방망 사업은 1차 공고에서 H사만 입찰했다. 이후 2차 공고가 나지 않았다. 국방부는 해킹 원인으로 지목한 H사에 계속 백신 서비스를 맡기면서 손해배상 소송을 내는 이중 태도를 나타냈다. 국방부는 이달 30일까지 내부망 사업자를 찾지 못하면 또다시 H사와 계약해야 한다.

국방통합데이터센터(DIDC) 시공사도 난감한 입장이 됐다. L사는 군 당국에서 공식 절차와 검증 과정을 거쳐 적격 판정을 받고 2015년 1월 해당 사업을 종료했다. L사는 해당 사업의 보안 취약점, 설치, 기술 검증, 시스템 시험 등 결과서에서 모두 적격 판정을 받았다. 기무사 보안 감사와 국방정보본부 보안 측정, 사이버 방호기관 평가를 통과했다. 심지어 L사는 2015년 2월 11일 해당 사업을 성공리에 수행, 국방부장관 표창까지 받았다.

김승주 고려대 사이버국방학과 교수는 “문제를 야기한 기업에 책임을 묻는 것도 일정 부분 수긍이 가지만 제품 검수와 시설 점검을 담당한 부서가 더 큰 책임이 있다”면서 “국방망 해킹 사건은 군이 공급망 보안 관리 규정을 지키지 않은 데 원인이 있다”고 지적했다.

구태언 테크앤로 대표변호사는 “보안솔루션 공급업체에 손해배상을 묻는 건 해커와 공급업체가 '공동 불법행위'를 저질렀다는 의미”라면서 “공급업체가 해킹을 막는 안전 조치를 미이행한 데 따른 법률상 의무를 위반했는지 밝혀야 한다”고 설명했다. 구 변호사는 “국방부가 공급업체에 내부 정보 보안 전반을 위탁하지 않아 일정한 과실이 있다”면서 “만약 원인이 국방부 공무원으로 밝혀지면 국가는 해당 공무원에게 구상금 청구 소송으로 손해배상을 청구할 수 있다”고 말했다. 그는 “공급업체에 책임이 있다고 나와도 공급업체 역시 해당 공무원에게 공동 불법행위자로서 책임 분담 비율에 따라 구상금 소송을 청구할 수 있다”고 덧붙였다.

김인순 보안 전문기자 insoon@etnews.com