[단독]‘기상청 소스코드’ 9차례 유출… 국정원 발견前까지 깜깜

계약 끝난 용역업체가 무단 접속
담당직원은 ‘주의’… 업체엔 위약금

기상청이 구축한 기후변화 예측 프로그램의 소스코드가 수차례 외부에 유출된 사실이 뒤늦게 확인됐다. 소스코드는 컴퓨터 소프트웨어의 내용을 프로그래밍 언어로 나타낸 일종의 설계도다.

18일 더불어민주당 신창현 의원에 따르면 올 3월 7일부터 25일 사이에 기상청 ‘기후정보포털’ 일부 자료의 소스코드가 9차례에 걸쳐 외부에 유출됐다. 해당 자료는 기상청 기후정보포털에서 장기적인 기후변화를 분석해 예측하기 위한 것이다.

조사 결과 해당 사업을 맡은 외부 용역업체 D사가 기상청 백업서버 등에 접속해 소스코드를 내려받았다. D사는 2018년 3월부터 2018년 11월까지 용역 보수 약 3억6000만 원을 받고 기후변화 자료 구축에 참여했다. D사는 유지 및 보수를 위해 서버에 원격 접속한 것으로 나타났다. 기상청 정보보안 지침에 따라 시스템에 대한 외부 접속은 엄격히 금지됐다. 내부 정보시스템에 원격으로 접속했을 경우 ‘중대’ 수준의 보안 위반으로 규정해 징계토록 하고 있다.

하지만 기상청은 소스코드 유출 사실을 미리 알지 못했다. 시스템 보안 점검에 나선 국가정보원 국가사이버안전센터가 발견해 통보했다. 기상청은 담당 직원에게 ‘주의’ 처분을 내리고 해당 업체에 위약금(용역금액의 3%)을 부과했다. 기상청은 D사가 소스코드를 다른 곳에 추가로 유출하거나 부적절하게 사용하지 않았다고 밝혔다. 기상청 관계자는 “용역업체가 업무 편의 차원에서 절차를 지키지 않아서 해당 행위에 대해서 내부 규정에 따라 처리했다”고 해명했다.

신 의원은 “기상청의 정보보안이 너무 허술하다”며 “즉각 전반적인 보안진단을 실시해 재발방지 대책을 세워야 한다”고 지적했다.

사지원 기자 4g1@donga.com