[아이뉴스24 김국배 기자] 심재철 자유한국당 의원의 청와대·정부 예산자료 유출 논란이 이어지고 있는 가운데 정부 시스템의 부실한 보안 관리 문제도 도마 위에 오르고 있다.
전문가들은 자료 입수 과정의 적법성 문제를 떠나 보안 관점에서 권한관리 실패, 미흡한 보안 모니터링 수준 등을 근본 원인으로 지적하고 있다.
심재철 의원이 의도한 것은 아니지만 이번 사태를 계기로 전자정부 보안 시스템 전반에 대해 재점검이 필요하다는 의견까지 거론된다.
8일 국회 등에 따르면 오는 10일 시작되는 20대 국회 후반기 첫 국정감사에서는 심재철 의원의 예산정보 유출 논란이 쟁점 중 하나가 될 전망이다.
기획재정부, 한국재정정보원 국감을 중심으로 여야 의원들의 질의가 나올 가능성이 큰 상태다.
이번 논란은 심 의원이 정부 디지털 예산·회계 시스템(dBrain)을 통해 예산자료를 습득하는 과정에서 촉발됐다. 해당 자료가 비인가된 정보라는 점에서 해킹, 불법성 인지 여부 등이 논점이 되고 있는 것.
그러나 보안학계 등에서는 이번 사태를 두고 정부 시스템의 부실한 보안 관리 문제에 주목하고 있다.
시스템 오류는 존재할 수 있지만 보안 모니터링이 제대로 이뤄지지 않은 건 심각한 결함이라는 지적이다. 심 의원실은 190회에 걸쳐 100만 건 이상의 자료를 내려받았다. 디브레인의 하루 평균 접속자 수는 1만6천여 명 정도로 알려졌다.
이상진 고려대 정보보호대학원 교수는 "시스템은 완벽하게 개발하기 어렵고, 이번처럼 권한있는 자가 비정상적인 방식으로 접근했을 때 오류가 발생할 수 있다"며 "그렇지만 접근이 비정상적으로 많고 대량의 데이터가 유출되고 있는 것은 모니터링만 잘했다면 알 수 있다"고 지적했다. 보안 관리가 본질적 문제라는 뜻이다.
이어 "초기 개발 당시에는 보안을 고려하지만 시스템을 가동하고 유지보수할 때는 무시되는 경우가 종종 있다"며 "외부 침입 방어뿐만 아니라 내부 결함에 대한 보안도 고려해야 한다"고 덧붙였다.
이를 두고 '권한관리의 실패'로도 평가된다.
보안학계 관계자는 "기획재정부와 재정정보원은 업무상 편의를 위해 자료요청에 대한 판단 절차를 생략하는 대신 아이디와 패스워드를 준 것"이라며 "차라리 자료요구권을 가진 자가 볼 수 있도록 의사결정이 끝난 자료를 따로 모아 놓고 접속하게 했더라면 더 나았을 것"이라고 말했다.
다만 심 의원이 비인가 정보에 접근한 행위 자체는 고의성 여부를 떠나 '정보통신망법' 위반이 될 수 있다는 의견이 많다. 망법 48조는 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다는 내용을 담고있다. 불법성을 인지하고도 반복적으로 접속했는지 등에 따라 법원의 판단이 갈릴 것이라는 전망이 나온다.
무엇보다 이번 사건을 계기로 재정정보시스템뿐 아니라 전자정부 시스템 전반에 대한 보안 점검이 필요하다는 목소리도 나온다.
정부는 2007년 예산 편성과 집행 등 중요 재정정보를 통합 관리한다는 명분으로 디브레인을 구축했다. 이후 약 10년간 민간 회사에 운영을 맡겨오다 정부 유출 우려 등을 이유로 2016년 7월 한국재정정보원을 설립했지만 불과 2년만에 이번 사건이 일어났다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기