기사 본문 영역

상세페이지

국책 연구원서 암호화폐 몰래 채굴…‘위험경고’ 무시한 과기부
입력 2019.10.02 (10:20) 취재K
지난해 11월, 중국의 한 중학교에서 암호화폐를 채굴하다 적발된 사건이 일어났습니다. 범인은 놀랍게도 이 학교 교장과 교감이었습니다.

암호화폐, 또는 가상화폐는 실물 없이 온라인에서 거래되는 화폐입니다. '블록체인'이라는 정보 저장망에 참여하면서 가상의 화폐를 얻는 방식인데, 한때 가치가 천정부지로 치솟기도 했습니다.

이 학교 교장, 교감은 학교 기숙사에서 몰래 암호화폐 채굴기를 돌렸습니다. 그런데 전기를 너무 많이 쓰는 것을 수상하게 여긴 전력공급업체 신고로 범행이 들통 났고, 곧바로 해고됐습니다. 채굴기를 돌린 기간은 1년, 전기요금만 240만 원이 나왔습니다.

'해외토픽'으로 화제가 된 사건인데, 비슷한 일이 석 달 전 우리나라에서도 일어났습니다. 그것도 최첨단 과학기술연구를 맡은 국책연구원에서 벌어졌습니다. 범인은 컴퓨터 서버 유지·보수 업체 직원이었습니다. 1년 넘게 국책연구원 서버에서 암호화폐 채굴프로그램을 돌렸는데 아무도 몰랐습니다. 이 과정에서 정부 부처의 심각한 잘못도 드러났습니다.

'과학영재 집합소' KAIST도 뚫렸다


가장 먼저 수상한 낌새를 알아챈 건 대전에 있는 한국지질자원연구원(KIGAM)입니다. 지난 5월 연구를 진행하다 서버의 CPU 가동률이 지나치게 높은 점을 수상하게 여긴 한 연구원이 조사에 나섰습니다. 그 결과 서버에 암호화폐를 채굴하는 악성 프로그램이 몰래 숨겨져 있는 걸 발견했습니다.

이 프로그램은 1년 전 서버를 납품받을 당시부터 설치돼 있었습니다. 범인은 서버를 납품하고 유지·보수하는 용역업체 직원. 일과 중에는 이 프로그램이 잠들어있다가 직원들이 퇴근한 저녁 7시부터 아침 7시 사이에 가동됐기 때문에 적발도 늦었습니다.

이 사실이 알려진 뒤 과학기술정보통신부 산하 모든 국책연구원이 전수조사에 나섰습니다. 그러자 해당 용역업체에서 납품받은 다른 기관의 서버에서도 지난 7월 이 악성 프로그램이 발견됐습니다. 울산에 있는 기초과학연구원(IBS) 분원 연구소, 과학영재들이 모인 한국과학기술원(KAIST) 연구실에서도 나왔습니다.

악성 프로그램은 KIGAM과 IBS에서 1년간, KAIST에서 6개월간 가동됐습니다. 용역업체 직원이 빼돌린 암호화폐는 약 300만 원어치. 다만 KAIST에서는 유출 시도가 있었지만, 보안프로그램이 가동돼 암호화폐가 빠져나가지 않았습니다.

'국정원 경고' 묵살한 과학기술정보통신부

악성 프로그램은 이보다 빨리 발견될 수 있었습니다. 바른미래당 박선숙 의원실에 따르면, 국가정보원 산하 국가사이버안전센터는 지난해 10월 모든 정부 부처에 해당 암호화폐 채굴프로그램에 대한 공개 경고를 보냈습니다.

아래는 국정원이 각 부처가 공유하는 정보공유망에 올린 글입니다.


그런데 과기부는 해당 IP만 차단했을 뿐 악성 프로그램 감염 여부는 조사하지 않았습니다. 왜 그랬을까요?

과기부 관계자는 KBS와의 통화에서 "해당 공지는 정부 부처가 공유하는 정보공유시스템에 올라온 것으로 정식 요청이 담긴 공문은 아니다"라고 했습니다. 그러면서 "IP 차단에 공지의 초점이 맞춰져 있다고 판단해 위험 IP를 곧바로 차단했다"고 덧붙였습니다.

그렇다면 다른 부처의 대응은 어땠을까요? 산업통상자원부는 곧바로 산하기관을 대상으로 전수조사를 시행했고, 해당 공지가 올라온 지 5일 만에 "감염 내역이 없다"고 국정원에 회신했습니다.

암호화폐 아닌 '정보 유출'이 문제


문제는 암호화폐가 아닙니다. 암호화폐를 채굴하는 과정에서 외부와 끊임없이 교신이 이뤄지는데, 이 과정에서 다른 자료들이 유출될 수 있다고 보안 전문가들은 지적합니다.

자칫 수십, 수백억 원을 투자한 연구자료가 암호화폐가 유출되는 경로를 통해 빠져나갈 수 있고, 이 경로를 통해 또 다른 해킹프로그램이 추가 설치될 가능성도 있습니다.

물론 국책연구원 관계자들은 "연구원 내에 많게는 1만 개의 작은 연구실(LAB)들이 있는데 이들 연구실의 서버까지 일일이 통제할 수 없다"고 어려움을 호소합니다. 하지만 정보의 중요성이 더욱 커지는 때에 국가의 미래를 좌우할 기초과학 연구자료가 어이없이 외부로 유출되는 것은 많은 시간과 노력을 들여서라도 막아야 한다는 것이 과학기술계의 중론입니다.

박선숙 의원도 "이번 사건은 국민의 세금이 투자된 연구개발 성과가 순식간에 유출될 수 있는 개연성이 상시로 존재한다는 사실을 보여준다"며 "왜 이런 일이 발생했는지, 사건 발생 이후 조치는 제대로 했는지 철저히 조사해야 한다"고 말했습니다. 오늘(2일) 열리는 과기부 국정감사에서도 이런 지적을 이어갈 예정입니다.

암호화폐를 채굴한 용역업체 직원은 어떻게 됐을까요? 대전지방경찰청 사이버수사대는 최근 이 직원을 불구속 상태로 검찰에 송치했습니다. 국책연구원 3곳 외에 다른 대학 3곳에도 암호화폐 채굴프로그램을 설치했고, 수백만 원어치 암호화폐를 벌어들인 것으로 조사됐습니다. 이번에는 이쯤에서 마무리됐지만, 정부와 국책연구원의 안이한 대응이 이어진다면 다음에도 같은 수준일지는 장담할 수 없습니다.
  • 국책 연구원서 암호화폐 몰래 채굴…‘위험경고’ 무시한 과기부
    • 입력 2019-10-02 10:20:58
    취재K
지난해 11월, 중국의 한 중학교에서 암호화폐를 채굴하다 적발된 사건이 일어났습니다. 범인은 놀랍게도 이 학교 교장과 교감이었습니다.

암호화폐, 또는 가상화폐는 실물 없이 온라인에서 거래되는 화폐입니다. '블록체인'이라는 정보 저장망에 참여하면서 가상의 화폐를 얻는 방식인데, 한때 가치가 천정부지로 치솟기도 했습니다.

이 학교 교장, 교감은 학교 기숙사에서 몰래 암호화폐 채굴기를 돌렸습니다. 그런데 전기를 너무 많이 쓰는 것을 수상하게 여긴 전력공급업체 신고로 범행이 들통 났고, 곧바로 해고됐습니다. 채굴기를 돌린 기간은 1년, 전기요금만 240만 원이 나왔습니다.

'해외토픽'으로 화제가 된 사건인데, 비슷한 일이 석 달 전 우리나라에서도 일어났습니다. 그것도 최첨단 과학기술연구를 맡은 국책연구원에서 벌어졌습니다. 범인은 컴퓨터 서버 유지·보수 업체 직원이었습니다. 1년 넘게 국책연구원 서버에서 암호화폐 채굴프로그램을 돌렸는데 아무도 몰랐습니다. 이 과정에서 정부 부처의 심각한 잘못도 드러났습니다.

'과학영재 집합소' KAIST도 뚫렸다


가장 먼저 수상한 낌새를 알아챈 건 대전에 있는 한국지질자원연구원(KIGAM)입니다. 지난 5월 연구를 진행하다 서버의 CPU 가동률이 지나치게 높은 점을 수상하게 여긴 한 연구원이 조사에 나섰습니다. 그 결과 서버에 암호화폐를 채굴하는 악성 프로그램이 몰래 숨겨져 있는 걸 발견했습니다.

이 프로그램은 1년 전 서버를 납품받을 당시부터 설치돼 있었습니다. 범인은 서버를 납품하고 유지·보수하는 용역업체 직원. 일과 중에는 이 프로그램이 잠들어있다가 직원들이 퇴근한 저녁 7시부터 아침 7시 사이에 가동됐기 때문에 적발도 늦었습니다.

이 사실이 알려진 뒤 과학기술정보통신부 산하 모든 국책연구원이 전수조사에 나섰습니다. 그러자 해당 용역업체에서 납품받은 다른 기관의 서버에서도 지난 7월 이 악성 프로그램이 발견됐습니다. 울산에 있는 기초과학연구원(IBS) 분원 연구소, 과학영재들이 모인 한국과학기술원(KAIST) 연구실에서도 나왔습니다.

악성 프로그램은 KIGAM과 IBS에서 1년간, KAIST에서 6개월간 가동됐습니다. 용역업체 직원이 빼돌린 암호화폐는 약 300만 원어치. 다만 KAIST에서는 유출 시도가 있었지만, 보안프로그램이 가동돼 암호화폐가 빠져나가지 않았습니다.

'국정원 경고' 묵살한 과학기술정보통신부

악성 프로그램은 이보다 빨리 발견될 수 있었습니다. 바른미래당 박선숙 의원실에 따르면, 국가정보원 산하 국가사이버안전센터는 지난해 10월 모든 정부 부처에 해당 암호화폐 채굴프로그램에 대한 공개 경고를 보냈습니다.

아래는 국정원이 각 부처가 공유하는 정보공유망에 올린 글입니다.


그런데 과기부는 해당 IP만 차단했을 뿐 악성 프로그램 감염 여부는 조사하지 않았습니다. 왜 그랬을까요?

과기부 관계자는 KBS와의 통화에서 "해당 공지는 정부 부처가 공유하는 정보공유시스템에 올라온 것으로 정식 요청이 담긴 공문은 아니다"라고 했습니다. 그러면서 "IP 차단에 공지의 초점이 맞춰져 있다고 판단해 위험 IP를 곧바로 차단했다"고 덧붙였습니다.

그렇다면 다른 부처의 대응은 어땠을까요? 산업통상자원부는 곧바로 산하기관을 대상으로 전수조사를 시행했고, 해당 공지가 올라온 지 5일 만에 "감염 내역이 없다"고 국정원에 회신했습니다.

암호화폐 아닌 '정보 유출'이 문제


문제는 암호화폐가 아닙니다. 암호화폐를 채굴하는 과정에서 외부와 끊임없이 교신이 이뤄지는데, 이 과정에서 다른 자료들이 유출될 수 있다고 보안 전문가들은 지적합니다.

자칫 수십, 수백억 원을 투자한 연구자료가 암호화폐가 유출되는 경로를 통해 빠져나갈 수 있고, 이 경로를 통해 또 다른 해킹프로그램이 추가 설치될 가능성도 있습니다.

물론 국책연구원 관계자들은 "연구원 내에 많게는 1만 개의 작은 연구실(LAB)들이 있는데 이들 연구실의 서버까지 일일이 통제할 수 없다"고 어려움을 호소합니다. 하지만 정보의 중요성이 더욱 커지는 때에 국가의 미래를 좌우할 기초과학 연구자료가 어이없이 외부로 유출되는 것은 많은 시간과 노력을 들여서라도 막아야 한다는 것이 과학기술계의 중론입니다.

박선숙 의원도 "이번 사건은 국민의 세금이 투자된 연구개발 성과가 순식간에 유출될 수 있는 개연성이 상시로 존재한다는 사실을 보여준다"며 "왜 이런 일이 발생했는지, 사건 발생 이후 조치는 제대로 했는지 철저히 조사해야 한다"고 말했습니다. 오늘(2일) 열리는 과기부 국정감사에서도 이런 지적을 이어갈 예정입니다.

암호화폐를 채굴한 용역업체 직원은 어떻게 됐을까요? 대전지방경찰청 사이버수사대는 최근 이 직원을 불구속 상태로 검찰에 송치했습니다. 국책연구원 3곳 외에 다른 대학 3곳에도 암호화폐 채굴프로그램을 설치했고, 수백만 원어치 암호화폐를 벌어들인 것으로 조사됐습니다. 이번에는 이쯤에서 마무리됐지만, 정부와 국책연구원의 안이한 대응이 이어진다면 다음에도 같은 수준일지는 장담할 수 없습니다.
기자 정보