[아이뉴스24 성지은 기자] 한국재정정보원의 보안 논란이 삼성SDS컨소시엄 백도어(뒷문) 논란으로 번졌다.
과거 시스템 개발의 주사업자를 맡은 삼성SDS 측은 시스템을 개발·운영한 뒤 2014년 운영을 종료했고, 그간 매해 감사를 통해 보안성을 확인해 온 만큼 백도어 논란은 '어불성설'이란 입장이다.
16일 국회 기획재정위원회 소속 심상정 의원(정의당)은 심재철 자유한국당 의원실이 관리자 권한으로 디지털예산회계시스템(dBrain) 내 재정분석시스템(OLAP)에 접근했다며 개발자가 만든 백도어가 재정정보 유출 경로일 가능성이 있다고 의혹을 제기했다.
심 의원실에 따르면, 이번 자료 유출은 국회의원실 아이디로 적법하게 로그인한 뒤 '시스템 오류를 유발하는 조작'을 통해 모든 피감기관에 대한 세부내역 정보에 접근이 가능해지면서 발생했다.
OLAP의 접근 권한은 국회의원과 감사관으로 구분돼있다. 국회의원 아이디로는 모든 기관의 간단한 통계 정보만 접근할 수 있고, 감사관 아이디는 지정된 감사기관에 대해서만 세부 내역 정보를 확인할 수 있다. 그런데 심재철 의원실은 이 권한을 뛰어넘어 제3의 권한인 관리자 권한으로 최종 자료정보 화면에 접근했다.
심 의원은 "재정정보원에 확인한 결과 심재철 의원실이 OLAP에서 비인가 재정정보를 내려받은 경로는 관리자 모드였다"며 "백도어 존재 가능성이 높다고 보는데, 시스템 구축업체부터 지금까지 운영을 맡아온 업체를 모두 샅샅이 조사해야 한다"고 말했다.
시스템 오류를 유발하는 조작은 단순 오류일 수 있지만, 우회로를 통해 관리자 모드로 접근한 점을 고려하면 시스템 개발자나 관리자가 만들어 둔 백도어일 가능성이 높다는 게 심 의원 측 주장이다.
백도어는 시스템 접근에 대한 사용자 인증 등 정상적인 절차를 거치지 않고 시스템에 접근할 수 있는 기능을 말한다. 특수한 경우, 원활한 유지 보수 서비스를 위해 시스템 설계자나 관리자가 이용할 수 있는 백도어를 만들어두기도 한다.
◆삼성SDS "매해 보안 감사, 백도어 있을 수 없어"
이번에 정보가 유출된 OLAP은 기획재정부가 2007년부터 민간업체인 삼성SDS컨소시엄(삼성SDS·하나INS·현대정보기술·아토정보기술)에 위탁해 구축·운영했으며, OLAP 구축은 롯데 계열사인 현대정보기술이 맡았다.
이후에는 삼성SDS 컨소시엄(삼성SDS·LG CNS, 삼성SDS·IT메이트·하나INS·요다정보기술·성민정보기술)이 운영해왔으며, 2014년 이후 KTNET컨소시엄(KTNET·아이티메이트·요다정보기술·성민정보기술)이 운영을 맡았다.
재정정보원이 OLAP 운영·관리를 맡은 건 2016년 7월 개원한 이후다. 기재부는 정보 유출 우려가 있다는 이유를 내세워 재정정보원을 별도 설립했다.
삼성SDS 측은 "2014년 5월 운영사업 계약 종료 후 시스템과 관련한 어떤 상황도 알지 못한다"며 "프로젝트 사업을 완료하면 이관하기 전 보안이나 권한 심사를 받고, 제3기관 등을 통해 매해 다양한 종류의 보안감사를 받았다"며 보안 논란을 반박했다.
또 "백도어 자체가 기본적으로 불법이고 있을 수 없다"며 백도어 논란을 정면 반박했다.
OLAP 구축을 맡았던 현대정보기술 또한 "OLAP은 폐쇄망으로 외부 접근이 불가능하다"며 "현재는 관련 담당 인력이 퇴사한 상황으로 구체적인 확인은 어렵다"고 설명했다.
2014년 사업을 이어받아 주사업자로 시스템 운영을 맡아 온 KTNET 또한 관련 조직이 해체된 상태로, 확인이 어려운 상황이다.
이날 열린 국정감사에서 김재훈 재정정보원장은 "삼성SDS가 백도어를 만들었을 가능성에 대해 인정하냐"는 유승민 바른미래당 의원의 질의에 "디브레인은 완성된 시스템을 구입한 것으로 그럴 가능성은 없다"고 일축했다.
참고인으로 출석한 윤유석 dBrain 운영본부장도 "백도어는 아니리라 생각한다"며 "지난10년 간 비인가영역에 대한 침해가 있었는지 시스템 로그(기록)를 분석해 본 결과 현재까진 발견하지 못했고, 수사 과정에서 밝혀질 것으로 본다"고 말했다.
성지은기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기