[데일리시큐][국감] 한국항공우주연구원 퇴직 예정자, 주말에 연구용 PC 외부 반출…기관은 45일간 몰라

내용 요약

한국항공우주연구원(항우연)의 퇴직 직전 연구원이 연구용 PC와 모니터를 외부로 반출한 사건이 45일이 지난 후에야 발견되었습니다. 이 사건은 국가 핵심기술 보호를 위한 보안 정책과 실무 간의 격차를 드러내며, 물리적 보안, 자산 추적, 인시던트 대응 프로세스의 개선이 시급함을 시사합니다.

핵심 포인트

• 인시던트 탐지 지연: 장비 반출 사실을 45일이 지난 후에야 파악 → 실시간 모니터링 체계 부재
• 자산 관리 실패: PC, 모니터 등 주요 장비에 대한 태그·로그 체계 부재 → 물리적 자산 유출 방지 실패
• 정책·실무 간 괴리: ‘나급’ 국가보안기(고등 분류) 관리 규정과 실제 운영 사이의 간극

기술 세부 내용

1️⃣ 물리적 보안 & 자산 추적

단계	설명	핵심 기술/개념
① 자산 등록	모든 연구용 장비(PC, 모니터, 외부 저장매체)를 재고 관리 시스템에 등록하고, RFID 태그를 부착한다.	RFID, Asset Management System
② 접근 제어	연구실 출입문에 Biometric Reader(지문/홍채)와 Smart Card를 결합한 2FA 기반 출입 관리 시스템을 도입한다.	2FA, Smart Card, Biometric
③ 실시간 추적	RFID 리더와 LoRaWAN 게이트웨이를 연동해 장비 위치를 실시간으로 추적하고, 장비가 허용된 영역을 벗어나면 SIEM에 경고를 발생시킨다.	LoRaWAN, SIEM, Real‑Time Tracking
④ 물리적 보호	장비 이동 시 Tamper‑Evident Seals를 사용해 분리된 장비에 대해 이동 기록을 증명하도록 한다.	Tamper‑Evident Seals
⑤ 기록 저장	모든 장비 이동 로그를 Immutable Ledger(블록체인 기반)로 저장해 변경 불가능하게 만든다.	Immutable Ledger, Blockchain

왜 중요한가?
1. 인시던트 탐지 지연을 방지해 내부자 위협에 즉각 대응 가능
2. 장비 이동 경로를 추적함으로써 물리적 자산 유출 여부를 명확히 판단할 수 있음

---

2️⃣ 데이터 분류 & 보안 정책

단계	설명	핵심 기술/개념
① 데이터 분류	연구 데이터를 국가보안등급(예: "Highly Classified", "Confidential")으로 라벨링한다.	Data Classification, Classification Framework
② 접근 제어	Role‑Based Access Control (RBAC)와 Least Privilege 원칙을 적용해 데이터 접근을 제한한다.	RBAC, Least Privilege
③ 저장 보안	각 장비에 Full‑Disk Encryption(AES‑256)와 Trusted Platform Module (TPM)를 장착해 물리적 탈취 시 데이터 노출을 차단한다.	Full‑Disk Encryption, TPM
④ 전송 보안	연구 데이터 전송 시 TLS 1.3과 VPN(IPSec)를 사용해 중간자 공격을 방지한다.	TLS 1.3, IPSec VPN
⑤ 데이터 로스 방지(DLP)	DLP 솔루션을 배포해 비인가 장비로의 데이터 전송을 실시간으로 차단한다.	DLP

왜 중요한가?
1. 장비가 유출되더라도 데이터가 암호화돼 있으면 데이터 노출 위험이 크게 감소
2. 분류 기반 접근 제어가 있어 유출된 장비에서도 민감 데이터 접근이 제한된다

---

3️⃣ 내부자 위협 인식 & 대응 프로세스

단계	설명	핵심 기술/개념
① 위험 평가	정기적으로 Insider Threat Assessment를 수행해 고위험 인물(퇴직자, 임시 고용 등)을 식별한다.	Insider Threat Assessment
② 보안 교육	퇴직 예정자에게 보안 정책 및 장비 반출 절차를 교육하고, Exit Interview를 통해 보안 의식을 점검한다.	Exit Interview, Security Training
③ 장비 회수	퇴직 직전 Hardware Return Form을 발급해, 장비 반납 시 Barcode Scan으로 로그를 남긴다.	Barcode Scan, Hardware Return
④ 인시던트 탐지	Endpoint Detection & Response (EDR)가 장비의 비정상적 이동을 감지하면 SIEM에 자동 알림을 발생시킨다.	EDR, SIEM
⑤ 포렌식	장비가 반출된 경우, Hardware Forensics Kit(Secure Boot 로그, TPM PCR, EDR 이벤트)를 수집해 사건 원인을 분석한다.	Hardware Forensics, Secure Boot Logs
⑥ 정책 업데이트	인시던트 결과를 토대로 정책 문서를 갱신하고, 보안 인프라를 강화한다.	Policy Revision

왜 중요한가?
1. 퇴직자는 내부자 위협의 대표적 사례이므로, 이 시기에 보안 절차를 강화해야 함
2. 실시간 탐지와 포렌식이 결합되면, 사고 규모를 최소화하고 재발 방지를 위한 근본 원인을 파악할 수 있음

---

4️⃣ 장비 수리·폐기 시 보안 절차

단계	설명	핵심 기술/개념
① 데이터 소거	장비 재활용 전, Secure Erase(ATA Secure Erase) 또는 Cryptographic Erase를 수행한다.	Secure Erase, Cryptographic Erase
② 물리적 파괴	민감 장비는 Degaussing(자기분해)와 Shredding(물리 분쇄) 절차를 거친다.	Degaussing, Shredding
③ 증거 보존	파괴 과정과 결과를 Digital Log(Immutable Ledger)로 기록해 법적 증거를 보존한다.	Immutable Ledger
④ 재활용 인증	재활용된 부품은 ISO/IEC 19770-1 자산 관리 표준에 따라 인증 절차를 거친다.	ISO/IEC 19770-1

왜 중요한가?
1. 데이터 복구 가능성을 완전히 제거해 정보 유출 위험을 방지
2. 법적 규정 준수를 통해 추후 소송·규제 대응을 용이하게 함

---

5️⃣ 보안 인프라 강화 방안

영역	제안	이점
네트워크	Zero Trust Network Access (ZTNA) 도입 → 모든 연결을 신뢰하지 않음	내부망에서도 최소 권한 제공
인증	Multi‑Factor Authentication (MFA) + Passwordless(WebAuthn)	해킹 위험 감소
모니터링	보안 인텔리전스 플랫폼 + AI 기반 이상 징후 탐지	인시던트 탐지 지연 최소화
정책	NIST SP 800‑53, ISO 27001 기반 내부 보안 정책 정기 갱신	국제 표준 준수
교육	매년 보안 인식 훈련 + Tabletop Exercise	인식 수준 상승

왜 중요한가?
1. 복합 위협에 대응하기 위해 보안 인프라 전반을 통합적으로 강화해야 함
2. 전사적 보안 문화가 형성되면, 인시던트 발생 시 신속한 대응이 가능

---

️ 결론

한국항공우주연구원(항우연) 사건은 물리적 보안, 자산 관리, 인시던트 대응 프로세스가 얼마나 상호 연결돼 있는지를 보여주는 사례입니다. 장비 반출을 막는 단순한 출입 통제만으로는 충분하지 않으며, 데이터 분류, 암호화, 실시간 모니터링, 포렌식 등 종합적인 방어 체계가 필요합니다. 앞으로는 Zero Trust 원칙을 기반으로 한 보안 모델과 자동화된 인시던트 탐지·응답 시스템을 도입해 내부자 위협을 최소화하고, 국가 핵심기술 보호를 위한 보안 역량을 한층 강화해야 할 것입니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=201421