[단독]기상청, 악성코드 발견 중국산 기상장비, 도입 전 보안취약사항 점검 안 해

최지영 기자 2023. 10. 10. 11:45
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
임이자 국민의힘 의원, 10일 기상청 ‘중국산 기상관측장비 현황’ 자료
文 정부 때인 2017년 이후 도입된 중국산 ‘연직바람관측장비’
조달청 공개경쟁 입찰 단계서 ‘기술평가’ 진행하지만 악성코드 유무 등 보안점검 실시 안 해
기상청, 올해 도입할 2대 보안점검 진행 중, 1대는 국정원에 ‘이상 없음’ 통보, 나머지 1대도 곧 점검 완료
기상청 “조달청 등과 입찰단계서부터 문제 업체와 장비, 사전에 거를 제도 보완 방안 협의”

연직바람관측장비 기상청이 올해 6월 악성 프로그램(악성코드)을 발견한 중국산 ‘연직바람관측장비’의 모습. 빨간 네모 안은 악성코드가 발견된 신호처리부 장치. 임이자 국민의힘 의원실, 기상청 제공.

연직바람관측장비 기상청이 올해 6월 악성 프로그램(악성코드)을 발견한 중국산 ‘연직바람관측장비’의 모습. 빨간 네모 안은 악성코드가 발견된 신호처리부 장치. 임이자 국민의힘 의원실, 기상청 제공.

최근 바람측정장비의 일종인 중국산 ‘연직바람관측장비’ 에서 악성코드가 발견(문화일보 10월 6일자 보도)된 것으로 알려져 기상장비를 둘러싼 사이버 공격 위험에 대한 우려가 커지는 가운데, 기상청은 올해 말 도입할 ‘연직바람관측장비’에 대한 보안점검을 진행하고 있는 것으로 파악됐다. 앞서 기상청은 악성코드가 나온 중국 제조사 장비를 도입하는 초기부터 보안 취약사항을 단 한 차례도 검사하지 않았던 것으로 나타났는데, 향후 장비 보안 점검 기준 메뉴얼을 개선하는 한편, 문제 업체의 장비 도입을 심사할 수 있는 방안을 모색하겠다는 입장을 뒤늦게 밝혔다. ‘연직바람관측장비’는 지상에서 약 5km 고도에 이르는 구간의 바람 속도, 방향을 측정할 수 있는 장비다.

10일 문화일보 취재 내용, 국회 환경노동위원회 소속 임이자 국민의힘 의원이 기상청에서 받은 자료를 종합하면, 기상청은 올해 말 도입해 울산과 영광 안마도에 도입할 ‘연직바람관측장비’ 2대에 대한 보안점검을 실시하고 있다. 올해 6월 악성코드가 발견된 이후 백신 설치 등 후속 조치가 마무리된 5대 외에 추가로 반입할 장비에 대해서는 사전에 보안 취약점을 들여다보겠다는 취지다. 기상청은 최근 울산에 배치할 장비 1대에 대한 보안점검을 마무리해 국가정보원에 “이상 없다”는 내용을 통보했으며, 영광에 설치할 장비 1대는 현재 진행 중인 보안점검을 끝낸 뒤 조만간 결과를 국정원에 전달할 것으로 알려졌다.

울산에 도입되는 장비는 최근 악성코드가 침투한 5대 장비와 동일하게 컴퓨터 운영체제(OS·윈도우 체제와 같은 구식 시스템)를 기반으로 하는 ‘신호처리부’(연직바람관측장비의 부대 장치로 수신부의 아날로그 신호를 디지털 신호로 변경하는 장치)가 탑재된 모델이다. 영광에 설치될 장비는 신형 장비로 OS체제가 아닌 ‘임베디드 시스템’이 적용된 모델이다. 주로 에어컨, 냉장고, 엘리베이터 등에 내장되는 형태로 구축되는 ‘임베디드 시스템’은 하드웨어(기계)와 소프트웨어(프로그램)가 조합된 전자제어 체제로, 해당 시스템에 대한 접근은 제조사만이 할 수 있다. 동일한 종류의 악성코드가 침범하면 조기 대응이 가능할 것으로 보이지만, 최근 해킹 등 사이버 공격의 유형이 다양해지는 만큼 보안점검 시 악성코드가 발견되지 않더라도 철저하고 지속적인 점검이 필요하다는 지적이 나오고 있다.

한편 기상청은 ‘연직바람관측장비’ 등 기상 장비에 대한 보안점검을 강화하겠다는 방침을 세웠다. 기상청은 문재인 정부 출범 초인 지난 2017년 이후 중국산 ‘연직바람관측장비’를 도입해 왔는데, 조달청과의 일반 경쟁 입찰 과정에서 기술평가, 조달청의 입찰가격평가를 합한 종합평가점수를 합친 점수를 근거로 계약을 맺었다.

다만 조달청이 진행한 기술평가는 바람의 세기, 속도 등을 관측하는 순수한 의미의 평가 절차로, 악성코드 침투 여부, 경로 등을 확인하는 보안점검 항목은 없었다고 한다. 기상청은 이와 관련 “기상관측장비 도입 사업 담당 부서에서 보안검사를 실시하고 있다”며 “보안검사 기준, 절차 등 관련 규정, 메뉴얼 등을 개선하고 향후 관측 장비 도입 시 보안검사를 사업 담당 부서와 (기상청) 정보보호팀이 이중으로 확인하겠다”고 향후 개선 방침을 밝혔다. 기상청은 또 “조달청 등 관계기관과 입찰단계에서부터 문제 업체나 장비를 사전에 거를 수 있는 제도적 보완 방법 등을 협의하겠다”고도 설명했다.

올해 10월 기준 국내에 설치된 ‘연직바람관측장비’ 총 13대 중 7대가 중국 회사의 제품이다. 앞서 중국산 연직바람관측장비 7대 중 장비 5대에서 악성코드가 발견된 것으로 나타났다. 3대는 중국 A사에서 제작된 모델로 현재 경기 파주와 전북 군산, 제주 서귀포에 배치돼 있고, 나머지 2대는 중국 B사에서 제조됐으며 국내 도입 이후 강원 철원, 경북 울진에 설치돼 가동 중이다. 기상청은 A사 장비에서 발견된 악성코드는 국내 통관 이전에 이미 설치돼 들어온 것으로 확인했으며 B사 장비의 악성코드는 장비 도입 이후 비교적 조기에 발견해 조치했지만, 현재까지 정확한 감염 경로를 파악하지 못하고 있다고 설명했다. 악성코드가 발견되지 않은 나머지 2대는 각각 2019년과 2022년 충남 태안군 북격렬비도, 전남 해남에 도입돼 운영 중이다.

기상청은 악성코드가 설치돼 있던 연직바람관측장비 5대 도입 과정에서 제조사 측과의 계약금으로만 18억3281만 원(한화 환산 금액)을 썼으며, 올해 추가로 설치될 2대 등 7대의 계약금 총액은 약 30억2885만 원인 것으로 나타났다. 현재 기상청에서 운용하는 전체 장비 857대 중 중국산 장비는 총 52대(6.07%)인 것으로 나타났다.

최지영 기자

Copyright © 문화일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
문화일보에서 직접 확인하세요. 해당 언론사로 이동합니다.