韓国国防部傘下の国防科学研究所（ADD）から機密に分類される技術データが多数流出していた事件の中間監査の結果が報告され、機密データ管理の杜撰さが浮き彫りになった。

参考：‘보안 뻥 뚫린’ 국방과학연구소…퇴직자, USB에 기밀 담아 출국

事実上セキュリティが機能していなかった国防科学研究所、誰でも自由に出入りできデータを無断持ち出し可能

本題に入る前に、この事件のあらましを振り返っておく。

諸外国と兵器に応用可能な技術の研究開発を行っている国防科学研究所で働いていた複数の研究員が民間の防衛産業企業へ転職する際、無断で機密扱いの技術データを持ち出していた事実が今年の5月に発覚、流出した可能性が高い技術の中には航空分野や潜水艦関連のデータや開発予定されている兵器に用いる目的で確保していたデータが相当数含まれていると言われており、被害金額は想像を絶する額になるだろうと噂されている事件である。

出典：韓国大統領府 青瓦台　潜水艦「島山安昌浩」進水式　

韓国の防衛事業庁は25日、国防科学研究所を退職した20人前後の元研究員が1人あたり数万～数十万件もの機密に分類される技術データを無断で持ち出していた事件に関する中間監査の結果を発表したが、その内容は信じられないほど杜撰な体制で機密データを管理していた国防科学研究所の実情を浮き彫りにして衝撃を与えている。

防衛事業庁の説明によれば、国防科学研究所は退職予定の研究員に対してセキュリティチェックを行うよう規定されているが過去3年間1度も行っていなかった。

さらにADDが14年前に導入したデータの不正持出しを防ぐ文書暗号化システムはバージョンアップすることなく放置されていたため何の役に立っておらず、研究所で使用されているPCの62％に相当する約4,000台には外部記憶媒体使用を制御する情報漏洩防止システムがインストールすらされていなかったことが確認され、ADDで正規に使用されていた数千台もの外部記憶媒体もセキュリティが設定されていなかったので、外部のPCに接続してデータを読み出すことが出来る状態だったらしい。

極めつけは研究所自体への出入りを管理するセキュリティチェックや保安要員をADDは運用しておらず、外部の人間がADD関係者の出入証を無断で複製して研究所内に出入りしていた事実も確認された。

出典：aijiro / stock.adobe.com

このような管理体制の中で過去5年間の間に使用された外部記憶媒体の履歴を調査した結果、元主席研究員2人が退職前に大量のデータを外部記憶媒体にコピーした後、UAEを含む外国へ出国したことが確認されたため警察に正式な捜査を依頼したと発表したが、この2人以外にも外部記憶媒体にデータを無断でコピーした元研究員が多数確認されており、現在在職している研究員ですらデータの無断持ち出しや外部から持ち込んだUSBの使用履歴を不正に改ざんするなどセキュリティ規定に違反している事実が確認されているので、今後捜査対象に挙がる人間の数は増えていく可能性が高い。

そもそも防衛事業庁は「どのデータがどれぐらい無断で持ち出されたのか」未だ正確に把握すら出来ていないので、ある元研究員が退職前に情報漏洩防止システムへ接続した後が約68万回確認された＝最大68万件のデータが無断コピーされたと数字が独り歩きしているが、これは氷山の一角でしかないという意味で、ある韓国メディアは「国防科学研究所のほぼ全職員が機密データ流出に関与している」と指摘しているほどだ。

因みに、今回ADDの監査にあった防衛事業庁の関係者は「機密データを取り扱う国家機関にも関わらず、ここまで杜撰なセキュリティ体制で運用されていたことが信じられなかった」と語って注目を集めている。

※アイキャッチ画像の出典：대한민국 국군 Republic of Korea Armed Forces / CC BY-SA 2.0