국가 연구기관 서버에 설치된 채굴 프로그램

in sct •  2 years ago  (Edited)



illustration by @carrotcake


제20대국회 제369회 제5차 과학기술정보방송통신위원회 (2019년 07월 15일)

박선숙 위원

PPT를 좀 보시고요.
(영상자료를 보며)

지난번에도 제가 언급했습니다만 암호화폐 무단 채굴 관련해서 과기정통부가 전수조사를 실시했다고 발표한 내용이 있습니다. 일단 발표한 내용의 문제점들을 제가 세 가지 지적을 하고자 합니다.

일단 첫 번째, 카이스트․지질연구원 등 최소 2개 기관은 인위적으로 추가 해킹 프로그램이 설치된 것이 아니라 서버 도입 당시에 이미 해당 서버에 채굴 프로그램이 무단으로 설치된 것으로 보입니다. 이 부분에 대해서는 정확하게 조사되지 않아서 저희가 자료를 드릴 테니까 한번 보시고요.

또 과기정통부와 관련 기관인 광주과기원 등은 자체점검 대상에서 제외되어 있습니다. 그런데 실제로는 광주과기원 등도 해당 업체의 서비스를 받고 있기 때문에 이런 데도 포함시켰어야 한다는 점을 한 가지 말씀드립니다.
공공기관이 이외에 또 있습니다. 한국선급 등 이런 공공기관들에 대해서는 과기정통부에서 통보를 했어야 하는데 통보가 되지 않았다는 점도 좀 문제입니다.
2005년에 과학기술사이버안전센터가 발족됐는데 이번 기회에 사이버안전센터가 자체 내의 사이버 안전에 충분히 시스템이 가동되고 있는지를 점검해 주시고, 이것이 다른 부처나 공공기관들 간에도 그 역할을 할 수 있도록 하는 계기가 되기를 요청드립니다.
다음에 인보사 연구 개발 관련해서 일단 서류상의 오기 문제에 대해서는, 출연금 지원액, 협동기관 또 협약서, 연구윤리 규정상에서 오기가 좀 있습니다. 제가 세세하게 말씀 안 드리겠습니다.
이것이 지금 기초연구까지의 연구윤리 문제로 확대될 수 있는 문제였다라는 지적이 있습니다. 그에 관해서 국가연구개발사업의 관리 등에 관한 규정 31조상에서 연구윤리 조사의 주체가 연구기관의 장으로 되어 있어서 마치 코오롱생명과학이 한국연구재단에게 요청해야 연구윤리를 조사할 수 있는 것처럼 되어 있는데 한국연구재단을 연구기관의 장으로 본다면 직접적인 연구윤리 조사의 주체가 될 수 있습니다. 이 규정이 좀 모호하게 되어 있으니 이 규정에 대해서 정확하게 해석하시고 점검해 주시기를 바랍니다.
한 가지만 마무리 말씀 드릴 텐데요, 제가 과기부 소관 법률에 근거한 법정 계획의 현황을 죽 분석했습니다. 나중에 자료를 드리겠습니다만 어떤 계획은 기본계획 수립 주기 규정 자체가 없거나 아니면 시행령에 위임되어 있거나 기본계획의 수립 주기와 실제 수립 주기가 불일치하는 경우도 있고, 이런 것들의 문제점들이 전체적으로는 계획은 계획이고 실행은 실행이다 이렇게 생각할 수 있지만 계획은 지도입니다. 지도를 잘 만들어 놔야 실행이 잘 되는 것이어서 제가 세 가지 제안을 드리겠습니다.
한 가지는 계획 수립 자체에 거버넌스 구조를 가져야 된다라는 것입니다. 두 번째는 여기 말씀드린 것처럼……

(발언시간 초과로 마이크 중단)
(마이크 중단 이후 계속 발언한 부분)

계획을 세우고 실행한 것에 대해서 평가가 적절하게 이루어져야 한다는 것입니다. 세 번째는 국가과학기술자문회의 심의나 국회의 평가 내용에 대한 보고 절차가 필요하다는 것입니다.
그래서 이런 것들을 감안해서, 제가 죽 검토한 내용을 기초로 해서 일부 법 개정이 필요한 부분은 법을 개정하려고 하고 있으니 그런 내용들까지를 포함해서 저희가 분석한 자료를 가지고 과기부가 전체적인 점검을 한번 하셔서 정비를 하시는 게 필요할 것 같습니다. 그렇게 해 주시겠습니까?

과학기술정보통신부장관 유영민

예, 감사합니다. 그 자료 저희들이 검토해서 팔로우 업 사항을 보고드리도록 하겠습니다.
인보사 관련 말씀 나온 김에, 최종 평가, 현장 실사 등이 지금 이루어지고 있고 거기에 따라서 필요하다면 연구비 환수라든가 또 참여 제한이라든가 이런 것까지 적절한 조치를 취하겠다는 말씀을 드리고요.

아까 암호화폐 무단 채굴은 기본적으로 전 연구개발 서버에 대해서 다 전수조사 합니다. 말씀하신 대로 빠진 부분은 확인해서 차제에 그런 부분을 근본적으로 한번 들여다보도록 하겠습니다.


박선숙 의원은 '카이스트․지질연구원 등 최소 2개 기관은 인위적으로 추가 해킹 프로그램이 설치된 것이 아니라 서버 도입 당시에 이미 해당 서버에 채굴 프로그램이 무단으로 설치된 것'으로 보인다고 했다. 유지보수 업체 직원이 서버에 설치한 것이다.

최근 과학기술정보통신부 산하기관인 한국지질자원연구원, 기초과학연구원(IBS), 카이스트 등의 서버에서 암호화폐 채굴 프로그램이 무단 설치된 정황이 드러났다. 유지보수 업체 직원의 소행으로 밝혀졌으나, 과기정통부와 산하기관 보안 시스템의 민낯이 드러났다는 지적이 이어지고 있다.
관련 기사

유영민 과기부 장관은 연구기관 서버에 대해 전수조사를 실시한다고 했다.

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!